HackTheBox-Linux-Jarvis

admin 2021年12月3日10:43:58安全文章评论22 views2220字阅读7分24秒阅读模式

一个每日分享渗透小技巧的公众号HackTheBox-Linux-Jarvis



大家好,这里是 大余安全 的第 160 篇文章,本公众号会每日分享攻防渗透技术给大家。



靶机地址:https://www.hackthebox.eu/home/machines/profile/194

靶机难度:初级(4.7/10)

靶机发布日期:2019年9月9日

靶机描述:

Jarvis is a medium difficulty Linux box running a web server, which has DoS and brute force protection enabled. A page is found to be vulnerable to SQL injection, which requires manual exploitation. This service allows the writing of a shell to the web root for the foothold. The www user is allowed to execute a script as another user, and the script is vulnerable to command injection. On further enumeration, systemctl is found to have the SUID bit set, which is leveraged to gain a root shell.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。



一、信息收集


HackTheBox-Linux-Jarvis

可以看到靶机的IP是10.10.10.143...

HackTheBox-Linux-Jarvis

我这里利用Masscan快速的扫描出了21,22,64999端口,在利用nmap详细的扫描了三个端口信息,22是ssh,64999是http服务等...

HackTheBox-Linux-Jarvis

访问到端口80上的Apache服务器,可以看到一个名为“ Stark Hotel”的页面....

HackTheBox-Linux-Jarvis

可看到该页面有订餐页面,也有订房页面...

HackTheBox-Linux-Jarvis

随意进入一个订房页面,发现URL,存在sql注入...

HackTheBox-Linux-Jarvis

测试发现可利用sql注入提权...

HackTheBox-Linux-Jarvis

http://10.10.10.143/room.php?cod=-1 union select 1,load_file('/etc/passwd'),3,4,5,6,7

发现了2存在注入点,查看到了passwd信息....

HackTheBox-Linux-Jarvis

利用into outfile创建了文本...将查看到的信息放入了文本中...测试看

HackTheBox-Linux-Jarvis

可看到,成功的,那么简单了,写个shell提权即可...

HackTheBox-Linux-Jarvis

http://10.10.10.143/room.php?cod=-1 union select 1,'<?php system($_REQUEST["dayu"]);?>',3,4,5,6,7 into outfile '/var/www/html/dayu.php'

简单写入cmd命令...

HackTheBox-Linux-Jarvis

然后利用cmd直接写入shell,获得了反向外壳www权限....但是无法读取user_flag信息....

HackTheBox-Linux-Jarvis

sudo发现了all存在simpler.py脚本...查看

HackTheBox-Linux-Jarvis

查看脚本,看到它使用-p参数获取IP地址,然后使用os.system()函数执行ping....

脚本还阻止了一些字符(&;-`| |)以防止注入...

但不会阻止字符“ $”,“()字符,这可以通过bash命令替换即“ $(cmd)”注入命令提权....

HackTheBox-Linux-Jarvis

可以看到该命令被用户名pepper代替,并且ping尝试将其解析为主机名说明命令执行成功...

那么可以使用它来执行bash反向shell,并获得一个shell作为Pepper....

由于某些特殊字符被阻止,我将命令写入脚本并通过注入执行它....

HackTheBox-Linux-Jarvis

简单的shell写入即可...

然后执行shell获得了反向外壳pepper用户权限...获得了user_flag信息...

由于这个外壳不稳定...我进行了ssh

HackTheBox-Linux-Jarvis

创建.ssh,并本地生成ssh-key....然后写入到pepper中...(简单操作)

HackTheBox-Linux-Jarvis

ssh登录后,枚举了SUID,发现存在systemctl....

systemctl命令用于管理运行systemd的系统上的服务....google看看怎么利用...

HackTheBox-Linux-Jarvis

google发现了挺多提权的办法...

只需要创建一个服务,该服务在启动时执行我们选择的文件,然后使用它systemctl来启用和启动它..这样就能执行了

HackTheBox-Linux-Jarvis



我创建了一个简单的bash-shell,然后创建service服务,并利用systemctl进行启动,启动后执行.sh的shell,并获得了root权限的反向外壳...

获得了root_flag信息...


简单的sql注入--systemctl(SUID)提权....


由于我们已经成功得到root权限查看user和root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-Linux-Jarvis
HackTheBox-Linux-Jarvis


HackTheBox-Linux-Jarvis


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-Linux-Jarvis

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-Linux-Jarvis


本文始发于微信公众号(大余安全):HackTheBox-Linux-Jarvis

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日10:43:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  HackTheBox-Linux-Jarvis http://cn-sec.com/archives/548076.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: