HackTheBox-Linux-Lazy

admin 2021年12月7日10:00:36评论71 views字数 2079阅读6分55秒阅读模式

一个每日分享渗透小技巧的公众号HackTheBox-Linux-Lazy



大家好,这里是 大余安全 的第 94 篇文章,本公众号会每日分享攻防渗透技术给大家。


HackTheBox-Linux-Lazy

靶机地址:https://www.hackthebox.eu/home/machines/profile/18

靶机难度:中级(4.8/10)

靶机发布日期:2017年10月5日

靶机描述:

Lazy mainly focuses on the use of padding oracle attacks, however there are several unintended workarounds that are relatively easier, and many users miss the intended attack vector. Lazy also touches on basic exploitation of SUID binaries and using environment variables to aid in privilege escalation.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

HackTheBox-Linux-Lazy



HackTheBox-Linux-Lazy

一、信息收集

HackTheBox-Linux-Lazy


HackTheBox-Linux-Lazy

可以看到靶机的IP是10.10.10.18....

HackTheBox-Linux-Lazy

Nmap发现开放了OpenSSH和Apache服务....

HackTheBox-Linux-Lazy

登录进来有一个Login and Register的选项,创建一个新帐户...dayu

HackTheBox-Linux-Lazy

这里我利用Bp拦截分析了sql注入...发现存在注入...直接测试后前几个就测试成功了...

HackTheBox-Linux-Lazy

直接通过admin=注册账户后,直接登录到了admin管理员用户权限内....这里估计存在BUG...或者作者遗漏了什么重要的东西...

HackTheBox-Linux-Lazy

进来后直接可以看到存在rsa密匙凭证...那这里直接通过nmap发现ssh服务登录即可获得user信息...(这里和昨天的靶机一样,昨天文章靶机直接文件上传就提权到了root,惊呆了...)

但是我还是想通过别的途径继续获得密匙...继续深入看看...

HackTheBox-Linux-Lazy

这里前面就创建了dayu用户...登录

HackTheBox-Linux-Lazy

继续BP拦截查看到了cookie:auth值...

这里存在漏洞,存在填充oracle攻击行为:

[维基百科](https://en.wikipedia.org/wiki/Padding_oracle_attack)

可以阅读下此漏洞...现实会遇到的...

填充oracle攻击是一种使用加密消息的填充验证来解密密文的攻击,在密码学中,通常必须填充(扩展)可变长度的明文消息与基础密码原语进行兼容,攻击依赖于具有“填充预言”的人员,该人员可以自由响应有关邮件是否正确填充的查询...(这是google翻译来的...)

吴翰清《白帽子讲WEB安全》书中也讲解了此漏洞...开始吧,不懂的百度也能查看很多信息...

HackTheBox-Linux-Lazy

perl padBuster.pl http://10.10.10.18/index.php BYWO%2BQTJb7XTDybidv9P%2BkewvWVcRk8J 8 -cookies auth=BYWO%2BQTJb7XTDybidv9P%2BkewvWVcRk8J -plaintext user=admin

直接利用cookie 截取的auth值进行...

这里利用[padBuster.pl](https://github.com/AonCyberLabs/PadBuster)获取admin的auth值...

经过一段时间,获取到了...直接更换填入即可...

这里就没截图了,通过BP更换auth,然后输出,页面会通过admin的auth跳转到admin权限页面...从而获取rsa值...

HackTheBox-Linux-Lazy

通过获取的rsa值,ssh成功登陆..获取的user信息...

HackTheBox-Linux-Lazy

在mitsos目录下还存在二进制backup程序...分析看看...

HackTheBox-Linux-Lazy

通过分析...在备份实用程序上运行字符串会显示它引用了cat命令,而没有指向二进制文件的实际路径它显示cat /etc/shadow并且cat未指定完整路径....

HackTheBox-Linux-Lazy

检查PATH,可以看到cat实际位置...

cat在/bin/中,直接创建一个cat文件,写入/bin/sh并赋予权限...在执行backup后会首先搜索cat /tmp,一旦找到它将执行并以root用户身份给我shell...

成功获得root权限...

HackTheBox-Linux-Lazy

通过读取方式获得了root信息...


HackTheBox-Linux-Lazy

由于我们已经成功得到root权限查看user和root.txt,因此完成这台中等难度的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

HackTheBox-Linux-Lazy


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-Linux-Lazy
HackTheBox-Linux-Lazy


HackTheBox-Linux-Lazy


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-Linux-Lazy

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-Linux-Lazy


本文始发于微信公众号(大余安全):HackTheBox-Linux-Lazy

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月7日10:00:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackTheBox-Linux-Lazyhttp://cn-sec.com/archives/431713.html

发表评论

匿名网友 填写信息