[PGPractice] Bratarina 靶機 Write-up
2024, Jun 17
本系列為 Proving Grounds Play Subscription 靶機
官方難易度 : Easy
社群評論難易度 : Easy
知識點 : SMTP RCE,提權不一定從權限,也有可能從洩漏的檔案
Port Scan
22,25,53,80,445
已知版本資訊
Samba smbd 4.7.6
Nginx 1.14.0
Flask BB
openSMTPD 2.0.0
80 port
利用 FlaskBB 去Exploit-DB 找 發現只有2006年的漏洞
看到網頁最下方寫 2013-2024就放棄這條路
445 Port 枚舉
發現 Domain
BRATARINA
Builtin
發現 STMP 使用者 neil
發現 25 Port 有OpenSMTPD
CVE 可以嘗試利用
嘗試了一會發現打不進去
查看了writeup 發現有許多小 trick
發現只有 有開啟的 port 才可成功讀取 (25,80,445)
可讀檔後 開始寫檔案 覆蓋/etc/passwd
使用 mkpasswd --method=MD5 --stdin
可準備一個已經寫好的root 密碼 常駐用來改後續/etc/passwd
hacker:$1$hacker$zVnrpoW2JQO5YUrLmAs.o1:0:0:root:/root:/bin/bash
使用到的工具
mkpasswd
將稍早讀取到的 /etc/passwd 回到本機 copy一份 並改寫root權限 再丟回機器
另一解法
發現 445 Port
使用 smbclient 發現 有檔案後 直接 metasploit
有個要注意的點
LHOST 預設為4444 須改為 稍早提到的 有開啟的 port 如 25,80,445