Ambassador靶机

靶场环境:

图片[1]-Ambassador靶机-Drton1博客

信息收集

进入内网,打开靶机环境 拿到靶机的ip

图片[2]-Ambassador靶机-Drton1博客

信息收集:

nmap 扫描端口:

图片[3]-Ambassador靶机-Drton1博客

开了 四个端口 22/80/3000/3306

尝试空密码登录 很遗憾 利用不了

图片[4]-Ambassador靶机-Drton1博客
图片[5]-Ambassador靶机-Drton1博客

尝试一波弱口令无果

还剩 一个80 跟3000端口。

开着80说明有网页 访问一波:

图片[6]-Ambassador靶机-Drton1博客

他说让我们尝试以 开发者的账户去访问ssh

可以看到该系统是Grafana

图片[7]-Ambassador靶机-Drton1博客

尝试了几个弱口令无果,于是去查该框架的nday 尝试攻击。

图片[8]-Ambassador靶机-Drton1博客

进行漏洞利用:

/public/plugins/gettingstarted/../../../../../../../../../../../../../../../etc/passwd

图片[9]-Ambassador靶机-Drton1博客

/public/plugins/gettingstarted/../../../../../../../../../../../../../../../etc/grafana/grafana.ini

图片[10]-Ambassador靶机-Drton1博客

/public/plugins/gettingstarted/../../../../../../../../../../../../../../../var/lib/grafana/grafana.db

图片[11]-Ambassador靶机-Drton1博客

说明我们可以把数据库给下载起来 还记得之前网页上说以开发者账户去登陆吗? 数据库都拿到了 能拿不到他的账密? 就在这个数据库里。

图片[12]-Ambassador靶机-Drton1博客

我们用curl命令把他下载起来

图片[13]-Ambassador靶机-Drton1博客

找到admin没有 用 你看这个数据库名称叫grafana.db 所以我们就要找grafana 是吧

图片[14]-Ambassador靶机-Drton1博客

账号:grafana 密码:dontStandSoCloseToMe63221!

拿去登录3306开放的数据库。

图片[15]-Ambassador靶机-Drton1博客

登录成功。

进去一顿操作 拿到开发者的账密。

图片[16]-Ambassador靶机-Drton1博客

这个密码看着像base64加密过的、

图片[17]-Ambassador靶机-Drton1博客

账号 developer 拿到密码:anEnglishManInNewYork027468

ssh 远程连接:

图片[18]-Ambassador靶机-Drton1博客

成功连接。

拿到user权限 也拿到user的flag。

图片[19]-Ambassador靶机-Drton1博客

提权到root:

方案: 1.内核提权

图片[20]-Ambassador靶机-Drton1博客

没有可以用的exp 内核提权不行。

2.sudo提权

图片[21]-Ambassador靶机-Drton1博客

(13条消息) Linux sudo 提权漏洞 CVE-2021-3156 复现 附exp_god_Zeo的博客-CSDN博客

不存在该漏洞 无法提权。

图片[22]-Ambassador靶机-Drton1博客

3.SUID提权

(13条消息) Linux提权————利用SUID提权_FLy_鹏程万里的博客-CSDN博客_linux 将某个进程提权

可以看到并没有 能够利用的提权目标 作罢。

4.计划任务提权

(13条消息) Linux提权第四篇-Linux Cron Jobs(任务计划)提权(crontab文件覆盖提权、Crontab Tar Wildcard(通配符)注入提权)_OceanSec的博客-CSDN博客

图片[23]-Ambassador靶机-Drton1博客

并没有办法利用。

难道就要到此结束了吗?

Linux中/opt 目录 安装第三方服务软件。

(13条消息) Hashicorp Consul Service API远程命令执行漏洞_山山而川’的博客-CSDN博客_consul 漏洞

图片[24]-Ambassador靶机-Drton1博客

那为什么访问不了呢?

图片[25]-Ambassador靶机-Drton1博客

这里就需要了解端口转发了。

图片[26]-Ambassador靶机-Drton1博客

ssh -L 8500:0.0.0.0:8500 developer@10.10.11.183 #然后输入密码

实现端口转发。

图片[27]-Ambassador靶机-Drton1博客

我们发现刚才的my-app目录里面有.git文件,可以查看日日志,于是拿到敏感信息token。

图片[28]-Ambassador靶机-Drton1博客

用msf查看需要配置的参数进行配置

图片[29]-Ambassador靶机-Drton1博客

利用漏洞 反弹shell。

图片[30]-Ambassador靶机-Drton1博客

拿到root的flag。

图片[31]-Ambassador靶机-Drton1博客

© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论