![[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103085619946.jpg)
前言
房间地址:https://tryhackme.com/room/cowboyhacker
你在酒吧里不断地吹嘘你的精英黑客技能,一些赏金猎人决定接受你的索赔!证明您的地位不仅仅是在酒吧喝几杯。我感觉到你的未来是青椒和牛肉!
![图片[1],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103060956783.png?imageView2/0/format/webp/q/75)
![图片[2],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103061022479.png?imageView2/0/format/webp/q/75)
实战
靶机地址:10.10.178.87
kali启动
![图片[3],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103060944322.png?imageView2/0/format/webp/q/75)
扫描
nmap -A -sC 10.10.178.87
扫描结果 如下
![图片[4],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103061351592.png?imageView2/0/format/webp/q/75)
查看提示:
![图片[5],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103061407774.png?imageView2/0/format/webp/q/75)
访问网站看看他们给了什么
![图片[6],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103061455832.png?imageView2/0/format/webp/q/75)
查一下翻译快一点 ,虽然域大致能看懂
![图片[7],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103061605645.png?imageView2/0/format/webp/q/75)
看出来这些用户名都不像是要攻击的对象 所以我们需要以匿名登录FTP
ftp 10.10.178.87
#用户名 anonymous![图片[8],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103062511808.png?imageView2/0/format/webp/q/75)
有两个文件
我们拿下来看看
![图片[9],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103063127287.png?imageView2/0/format/webp/q/75)
如果有passive拦截就先退出 输入passive关闭安全拦截
![图片[10],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103063229934.png?imageView2/0/format/webp/q/75)
好的都拿下了
![图片[11],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103063301495.png?imageView2/0/format/webp/q/75)
上面的那个是lock.txt 看出来好像是个密码
我们打开task.txt看一下
![图片[12],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103063333429.png?imageView2/0/format/webp/q/75)
![图片[13],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103063906603.png?imageView2/0/format/webp/q/75)
可以看到我们的ssh用户应该是lin
所以我们需要用九头蛇去爆破他
hydra -t 50 -l lin -P locks.txt -vV 10.10.178.87 ssh出来了
![图片[14],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103063959327.png?imageView2/0/format/webp/q/75)
ssh lin@10.10.178.87![图片[15],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064128279.png?imageView2/0/format/webp/q/75)
让我们先拿一个user.txt flag再说
![图片[16],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064205591.png?imageView2/0/format/webp/q/75)
下面还是提权
先看一下内核信息
cat /proc/version
#或者 uname -a![图片[17],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064528982.png?imageView2/0/format/webp/q/75)
系统是乌班图 版本是16.04.12
sudo-l 看一下
![图片[18],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064338492.png?imageView2/0/format/webp/q/75)
![图片[19],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064434402.png?imageView2/0/format/webp/q/75)
提权
以下两种提权方法
第一种CVE-2021-3493提权
![图片[20],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103090016474.png?imageView2/0/format/webp/q/75)
根据我们之前看到的版本是16.04.12
可以知道CVE漏洞利用:CVE-2021-3493
https://ssd-disclosure.com/ssd-advisory-overlayfs-pe/
![图片[21],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064714406.png?imageView2/0/format/webp/q/75)
漏洞给了我们信息 也给了我们演示
![图片[22],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064826156.png?imageView2/0/format/webp/q/75)
看一下CVE漏洞提权演示
![图片[23],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103064938258.gif?imageView2/0/format/webp/q/75)
GitHub – briskets/CVE-2021-3493: Ubuntu OverlayFS Local Privesc
可以去github下载文件
![图片[24],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103083331456.png?imageView2/0/format/webp/q/75)
我把这个名字改了一下传到kali目录里
让后在本机传进去SSH
这里我犯了一个致命的问题(之前一直依赖工具传木马在工具上传文件 ) ,所以这次在ssh里传文件的时候我命令被禁止了, 我百思不得其解,甚至去找群主我为什么错了
![图片[25],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103083710924.png?imageView2/0/format/webp/q/75)
![图片[26],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103083642277.png?imageView2/0/format/webp/q/75)
不得不说我这此犯的错误有一点蠢哈哈
我们scp传的时候是在本机kali上传而不是在ssh上传
scp /tmp/CVE2021.c lin@10.10.178.87:/tmp
![图片[27],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103083506622.png?imageView2/0/format/webp/q/75)
好的传上去了 让我们去编译运行他吧!
![图片[28],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103084012756.png?imageView2/0/format/webp/q/75)
gcc CVE2021.c -o CVE #编译CVE2021.c 并-o 保存名字为CVE的文件
.CVE #运行我们的内核文件![图片[29],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103084614857.png?imageView2/0/format/webp/q/75)
好的 拿flag
![图片[30],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103084731635.png?imageView2/0/format/webp/q/75)
OK了
![图片[31],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103084808866.png?imageView2/0/format/webp/q/75)
第二种官方题解提权
之前我们sudo -l查询一下我们的权限
![图片[32],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103084909676.png?imageView2/0/format/webp/q/75)
可以看见我们可以以root身份去运行/bin/tar
那么这一定是个RCE执行漏洞
我们去这个地址https://gtfobins.github.io/#
搜索一下二进制内核漏洞
![图片[33],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103085036617.png?imageView2/0/format/webp/q/75)
让我们搜索一下tar
![图片[34],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103085504905.png?imageView2/0/format/webp/q/75)
进去tar 复制命令
![图片[35],[Thm红队]Bounty Hacker赏金黑客之CVE-2021-3493漏洞提权(经常出现),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240103085433548.png?imageView2/0/format/webp/q/75)
tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh一个命令我们就是root了 再次感谢群主指导
借鉴了群主的WPhttps://blog.csdn.net/qq_54704239/article/details/128405540
![[LitCTF]cha0s-Writeup,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/06/20240602034759133.png)
![[HGAME]2024 WEEK1 writeup笔记,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/02/20240201194241296.png)
![[5.20]从抖音信息收集到微信小程序sessionkey泄露伪造登录渗透某edu站,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240520143248539.jpg)
![[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095651301.png)
暂无评论内容