みなさん,こんにちは!

所以,我设法解决退休情人节盒从黑客盒,决定写文章。你可以回到你的写如果你忘记什么东西,它像一个笔记把!让我们开始吧!

文摘

盒子里教我们如何发现和利用“Heartbleed”漏洞是一个严重的漏洞在流行的OpenSSL加密软件图书馆。这个弱点让窃取信息的保护,在正常情况下,由SSL / TLS加密用于保护互联网。更多的,这个网站。我们得到一个堰十六进制字符串实际上是id_rsa私钥,将它转换为ASCII和给它必要的权限,我们试图登录用户“炒作”,但在私钥密码提示。利用heartbleed漏洞给我们敏感id_rsa的密码。我们成功地登录。在登录之后,我们看到根tmux进程运行在一个明确的二进制。只是利用suid漏洞给我们的根。

枚举

一如既往,我们从一个nmap开始扫描。

我第一次做一个详细的扫描:

nmap - v sv sc t4 10.10.10.79

Nmap返回端口22,80年和443年开放。

然后我跑一个完整的端口扫描但这一次没有默认的脚本。我这样做是因为运行默认的脚本和一个完整的端口扫描将会非常缓慢。我们可以看到哪些端口开放然后使用nmap单独列举每个端口。你能找到更多这样的技巧在这里。

这是完整的端口扫描的结果:

看起来像没有打开其它端口。

80端口:

Apache是运行在端口80上我们去拜访它。还允许检查如果php。这可以通过< website.name > / html.php打字。如果它返回有效响应运行php。这是一个重要的信息。

也当我们手动看网站,让蛮力目录

就我个人而言,我更喜欢gobuster目录和wfuzz对特殊文件

访问的网站我们得到:

我尝试路径遍历脆弱但无济于事。

继续gobuster wfuzz:

野生的dev出现! ! ! !

允许进入该目录!

老实说,笔记。txt没有多大意义。但hype_key !

我们得到一个奇怪的十六进制编码的字符串。我有一个大的预感,这将是一个RSA私钥。我前7字符转换,是的,这是RSA文件!可以省略这些空间和使用这把它转换成RSA文件!

这是原来的私钥!

让我们试着登录使用ssh在盒子上。(还记得chmod 600)

ssh - id_rsa hype@10.10.10.79

但它要求rsa密钥密码!

这是奇怪的!我没有设置任何密码!我试图打开文件,果然它想要的密码。然后我意识到用户“炒作”设置密码。所以尽管你id_rsa键才可以登录密码。

端口443

Nmap retunrned端口443以下:

其运行SSL。我们只是列举nmap heartbleed脚本

nmap - v -脚本ssl-heartbleed 10.10.10.79 - p 443

SSL在端口443上容易受到heartbleed脆弱性。我们利用它!

允许使用python脚本,看看我们可以访问敏感数据背后的SSL。

运行脚本base64字符串。

解码:

看来我们有他密码。

测试对id_rsa我们继续工作,通过ssh登录

剥削

通过ssh登录:

酷,我们里面!

升级

首先让我们寻找SUID二进制文件;

什么有趣的。允许检查运行的流程

一个有趣的过程被作为根用户运行:

似乎tmux / .dev / dev_sess上运行。理论上如果我们只是发出这个命令我们将根tmux内

首先让我们看看如果我们可以使用tmux内盒:

看起来是我们发出的命令:

亮光流! ! ! !

好了!我们是根tmux !

结论

根据TJ空这是一个OSCP类型盒它是适合学习和尝试不同的东西没有太多的技术难题。