『靶场』Hackthebox-Meta靶机

日期：2022-05-09

作者：herbmint

介绍：Hackthebox-Meta靶机实战。

0x00 前言

Meta靶机为Linux机器，上线时间为2022年1月22日，难度级别为Medium，官方评分为4.5，主机IP为10.10.11.140。

0x01 靶机实战

1.1 信息搜集

1）使用nmap进行端口扫描；开放端口有22、80。

访问80端口之后会跳转至artcorp.htb，将其加入到hosts文件后访问。

对此页面进行信息搜集，并未发现有什么可利用的信息。

2）使用ffuf来fuzz目录；未发现可利用目录。

3）继续使用ffuf来fuzz一下子域名；发现一个dev01。

将dev01.artcorp.htb添加到hosts文件之后访问，这是一个ArtCorp的开发环境。

访问MetaView程序，页面提示上传图片来显示对应的元数据，所以此程序可能是提取图片元数据的工具。

搜索常用的图片元数据提取工具，发现了exiftool工具，通过对此程序上传图片和exiftools上传图片进行对比，发现显示内容一致，基本确定这个程序搭建的是exiftool工具。

搜索exiftool漏洞，发现其存在两个漏洞，一个是CVE-2021-22204，另一个CVE-2021-22205。

CVE-2021-22204可以通过后台上传恶意JPG格式文件触发代码执行漏洞，这里我们选择使用CVE-2021-22204来进行利用。

1.2 漏洞利用

1）利用CVE-2021-22204漏洞获取shell;

搜索CVE-2021-22204漏洞的exploit，发现可利用文件：https://github.com/convisolabs/CVE-2021-22204-exiftool/blob/master/exploit.py

下载此漏洞利用文件，修改此文件中的ip和端口，运行此脚本文件，即可获取到jpg文件，此文件就是我们的shell。

在本地开启监听端口，并将获取到的jpg文件拿到MetaView页面上传，即可成功获取到shell。

查看当前用户权限，发现当前用户的权限为服务器权限。

查看一下具有bash权限的用户，发现存在thomas用户。

切换到thomas所在目录，在此目录下发现了user.txt文件，但是没有访问权限，并且还发现存在.ssh文件，依旧没有访问权限。

查看一下此靶机从创建以来创建的文件，看是否有什么有用信息；发现一个bash脚本。

查看这个脚本文件，大致意思是进入covert_images目录下利用mogrify将文件格式更改png格式,并将报错输出到/dev/null文件中，之后关掉mogrify进程。

查看一下mogrify的版本信息，可以看到其使用的是ImageMagick 7.0.10-36版本。

查找此版本程序是否有漏洞可供利用,发现存在CVE-2020-29599漏洞.此漏洞是因为错误地处理了-authenticate选项，该选项允许为受密码保护的PDF文件设置密码，用户控制的密码没有被正确地转义，因此可以通过构造好的SVG格式图片文件，在Imagemagick中注入任意命令。

0x02 权限提升

1）提权至普通用户权限

利用CVE-2020-29599漏洞，构造exploit利用。

参考链接：https://blog.csdn.net/zy15667076526/article/details/116298870

创建poc.svg文件，并将它放置到具有可执行权限的目录下。

poc.svg:
<image authenticate='ff" `echo $(id)> /dev/shm/0wned`;"'>  <read filename="pdf:/etc/passwd"/>   <get width="base-width" height="base-height" />   <resize geometry="400x400" /> <write filename="test.png" />   <svg width="700" height="700" xmlns="http://www.w3.org/2000/svg"xmlns:xlink="http://www.w3.org/1999/xlink">  <image xlink:href="msl:poc.svg" height="100" width="100"/>   </svg></image>

将此文件复制到/var/www/dev01.artcorp.htb/convert_images/目录下，便会将此文件转换格式，便会在/dev/shm目录下生成0wned文件。

查看此文件，发现此文件的权限为thomas。

修改poc.svg文件，将user.txt的内容输出出来。

继续执行此文件，发现在已经得到了user.txt文件，查看此文件，得到用户权限的flag

继续尝试修改poc.svg文件，尝试将私钥读取出来。

将此密钥文件更改格式后保存到本地，尝试利用ssh连接，即可成功连接到thomas用户，获取到普通用户权限。

2）利用sudo提权至root权限

使用sudo -l查看，发现neofetch程序具有root权限。

修改neofetch的配置文件，在里面添加一个反向shell。

重新设置一下XDG的环境；

export XDG_CONFIG_HOME="$HOME/.config"

在本地开启监听端口；

nc -nvlp 5555

并且以root权限执行neofetch程序；

sudo -u root /usr/bin/neofetch ""

成功获取到反弹回的root权限的shell;

成功获取到root的flag；

0x03 总结

此靶机利用到exiftool漏洞，在利用此漏洞的exploit的时候要注意前提条件，运行此脚本的环境信息。CVE-2020-29599漏洞利用的时候要知道自己的路径具体在那边，还有就是最后利用neofetch提权的时候，重新设置XDG的环境变量，否则后面即使使用root权限执行neofetch也无法得到反弹的shell。

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。