HackTheBox-Linux-Canape

admin
admin
admin
100990
文章
86
评论
2021年12月22日19:18:38评论131 views字数 2309阅读7分41秒阅读模式

一个每日分享渗透小技巧的公众号HackTheBox-Linux-Canape



大家好,这里是 大余安全 的第 128 篇文章,本公众号会每日分享攻防渗透技术给大家。



靶机地址:https://www.hackthebox.eu/home/machines/profile/134

靶机难度:中级(4.7/10)

靶机发布日期:2018年9月15日

靶机描述:

Canape is a moderate difficulty machine, however the use of a file (.git) that is not included in the dirbuster wordlists can greatly increase the difficulty for some users. This machine also requires a basic understanding of Python to be able to find the exploitable point in the application.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

HackTheBox-Linux-Canape




一、信息收集



HackTheBox-Linux-Canape

可以看到靶机的IP是10.10.10.70....

HackTheBox-Linux-Canape

Nmap发现开放了Apache和OpenSSH服务....还发现了.git目录

HackTheBox-Linux-Canape

浏览apache页面发现存在View和submit页面...

HackTheBox-Linux-Canape

查看VIew发现了一些对话,homer用户信息...

HackTheBox-Linux-Canape

nmap前面扫描发现了.git目录发现了很多文件....

HackTheBox-Linux-Canape

查看后在config发现了域名信息...添加

HackTheBox-Linux-Canape

添加域名后,下载了git包...可看到存在__init py文件等信息...

HackTheBox-Linux-Canape

阅读int_py发现:

这是处理/submit页面的部分,它接受POST值character和quote,如果其中任何一个为null以及白名单中不存在该字符,则抛出错误,这里可以引用名称,如果它们都有效就会p_id使用char+quote数据的md5sum初始化一个变量,然后在tmp文件夹中以.p扩展名创建一个同名文件(该文件应该是一个pickle文件),然后将其填充char+quote数据....


Python的pickle库有助于序列化数据和存储,并且像大多数使用各种语言的序列化库一样容易受到攻击,例如Celestial上的NodeJs序列化漏洞....

可以到google搜索相关pickle漏洞信息...

HackTheBox-Linux-Canape

通过简单编写EXP,成功获得了www权限...

HackTheBox-Linux-Canape

上传LinEnum.sh枚举靶机信息...

发现5984在本地默认监听,测试看看...

HackTheBox-Linux-Canape

通过curl测试,可以枚举数据库信息...

使用/_all_dbs/api调用,看到它具有6个数据库,继续从中搜索_users和passwd...

虽然没获取,这里需要创建数据库用户名密码,可以通过corrcet curl PUT请求来创建用户名,来利用此数据库获得信息...


HackTheBox-Linux-Canape

curl -X PUT 'http://localhost:5984/_users/org.couchdb.user:dayu' --data-binary '{  "type": "user",  "name": "dayu",  "roles": ["_admin"],  "roles": [],  "password": "dayuxiyou"}'

创建dayu的管理员用户,密码为dayuxiyou....

HackTheBox-Linux-Canape

curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/_all_docscurl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc4380019e4curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc43800368dcurl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438003e5fcurl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438004738可以看到得到了一堆id,继续利用id获得信息...

获得了密码信息...

HackTheBox-Linux-Canape

查看到了用户信息...直接su登录了用户权限...获得了user_flag信息...

HackTheBox-Linux-Canape

sudo -l发现允许以root身份运行pip,直接创建一个简单shell python即可...

然后以root来执行pip安装....

HackTheBox-Linux-Canape

创建setup.py python脚本,成功获得了反向外壳root权限...


获得root_flag信息...

由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-Linux-Canape
HackTheBox-Linux-Canape


HackTheBox-Linux-Canape


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-Linux-Canape

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-Linux-Canape


大余安全的第 119 篇文章,一个每日分享渗透小技巧的公众号大家好,欢迎关注!


本文始发于微信公众号(大余安全):HackTheBox-Linux-Canape

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月22日19:18:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackTheBox-Linux-Canapehttp://cn-sec.com/archives/462949.html

发表评论

匿名网友 填写信息