『靶场』Hackthebox-Meta靶机

admin 2022年5月9日19:27:36安全文章评论43 views2771字阅读9分14秒阅读模式




点击蓝字,关注我们



日期:2022-05-09

作者:herbmint

介绍:Hackthebox-Meta靶机实战。


0x00 前言

Meta靶机为Linux机器,上线时间为2022年1月22日,难度级别为Medium,官方评分为4.5,主机IP10.10.11.140

0x01 靶机实战

1.1 信息搜集

1)使用nmap进行端口扫描;开放端口有22、80

『靶场』Hackthebox-Meta靶机

访问80端口之后会跳转至artcorp.htb,将其加入到hosts文件后访问。

『靶场』Hackthebox-Meta靶机

对此页面进行信息搜集,并未发现有什么可利用的信息。

2)使用ffuffuzz目录;未发现可利用目录。

『靶场』Hackthebox-Meta靶机

3)继续使用ffuffuzz一下子域名;发现一个dev01

『靶场』Hackthebox-Meta靶机

dev01.artcorp.htb添加到hosts文件之后访问,这是一个ArtCorp的开发环境。

『靶场』Hackthebox-Meta靶机

访问MetaView程序,页面提示上传图片来显示对应的元数据,所以此程序可能是提取图片元数据的工具。

『靶场』Hackthebox-Meta靶机

搜索常用的图片元数据提取工具,发现了exiftool工具,通过对此程序上传图片和exiftools上传图片进行对比,发现显示内容一致,基本确定这个程序搭建的是exiftool工具。

『靶场』Hackthebox-Meta靶机

搜索exiftool漏洞,发现其存在两个漏洞,一个是CVE-2021-22204,另一个CVE-2021-22205

CVE-2021-22204可以通过后台上传恶意JPG格式文件触发代码执行漏洞,这里我们选择使用CVE-2021-22204来进行利用。

1.2 漏洞利用

1)利用CVE-2021-22204漏洞获取shell;

搜索CVE-2021-22204漏洞的exploit,发现可利用文件:https://github.com/convisolabs/CVE-2021-22204-exiftool/blob/master/exploit.py

下载此漏洞利用文件,修改此文件中的ip和端口,运行此脚本文件,即可获取到jpg文件,此文件就是我们的shell

『靶场』Hackthebox-Meta靶机

在本地开启监听端口,并将获取到的jpg文件拿到MetaView页面上传,即可成功获取到shell

『靶场』Hackthebox-Meta靶机

查看当前用户权限,发现当前用户的权限为服务器权限。

『靶场』Hackthebox-Meta靶机

查看一下具有bash权限的用户,发现存在thomas用户。

『靶场』Hackthebox-Meta靶机

切换到thomas所在目录,在此目录下发现了user.txt文件,但是没有访问权限,并且还发现存在.ssh文件,依旧没有访问权限。

『靶场』Hackthebox-Meta靶机

查看一下此靶机从创建以来创建的文件,看是否有什么有用信息;发现一个bash脚本。

『靶场』Hackthebox-Meta靶机

查看这个脚本文件,大致意思是进入covert_images目录下利用mogrify将文件格式更改png格式,并将报错输出到/dev/null文件中,之后关掉mogrify进程。

『靶场』Hackthebox-Meta靶机

查看一下mogrify的版本信息,可以看到其使用的是ImageMagick 7.0.10-36版本。

『靶场』Hackthebox-Meta靶机

查找此版本程序是否有漏洞可供利用,发现存在CVE-2020-29599漏洞.此漏洞是因为错误地处理了-authenticate选项,该选项允许为受密码保护的PDF文件设置密码,用户控制的密码没有被正确地转义,因此可以通过构造好的SVG格式图片文件,在Imagemagick中注入任意命令。

0x02 权限提升

1)提权至普通用户权限

利用CVE-2020-29599漏洞,构造exploit利用。

参考链接:https://blog.csdn.net/zy15667076526/article/details/116298870

创建poc.svg文件,并将它放置到具有可执行权限的目录下。

poc.svg:
<image authenticate='ff" `echo $(id)> /dev/shm/0wned`;"'> <read filename="pdf:/etc/passwd"/> <get width="base-width" height="base-height" /> <resize geometry="400x400" /> <write filename="test.png" /> <svg width="700" height="700" xmlns="http://www.w3.org/2000/svg"xmlns:xlink="http://www.w3.org/1999/xlink"> <image xlink:href="msl:poc.svg" height="100" width="100"/> </svg></image>
『靶场』Hackthebox-Meta靶机

将此文件复制到/var/www/dev01.artcorp.htb/convert_images/目录下,便会将此文件转换格式,便会在/dev/shm目录下生成0wned文件。

『靶场』Hackthebox-Meta靶机

查看此文件,发现此文件的权限为thomas

『靶场』Hackthebox-Meta靶机

修改poc.svg文件,将user.txt的内容输出出来。

『靶场』Hackthebox-Meta靶机

继续执行此文件,发现在已经得到了user.txt文件,查看此文件,得到用户权限的flag

『靶场』Hackthebox-Meta靶机

继续尝试修改poc.svg文件,尝试将私钥读取出来。

『靶场』Hackthebox-Meta靶机

将此密钥文件更改格式后保存到本地,尝试利用ssh连接,即可成功连接到thomas用户,获取到普通用户权限。

『靶场』Hackthebox-Meta靶机

2)利用sudo提权至root权限

使用sudo -l查看,发现neofetch程序具有root权限。

『靶场』Hackthebox-Meta靶机

修改neofetch的配置文件,在里面添加一个反向shell

『靶场』Hackthebox-Meta靶机

重新设置一下XDG的环境;

export XDG_CONFIG_HOME="$HOME/.config"

在本地开启监听端口;

nc -nvlp 5555

并且以root权限执行neofetch程序;

sudo -u root /usr/bin/neofetch ""
『靶场』Hackthebox-Meta靶机

成功获取到反弹回的root权限的shell;

『靶场』Hackthebox-Meta靶机

成功获取到rootflag

『靶场』Hackthebox-Meta靶机

0x03 总结

此靶机利用到exiftool漏洞,在利用此漏洞的exploit的时候要注意前提条件,运行此脚本的环境信息。CVE-2020-29599漏洞利用的时候要知道自己的路径具体在那边,还有就是最后利用neofetch提权的时候,重新设置XDG的环境变量,否则后面即使使用root权限执行neofetch也无法得到反弹的shell


免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。

『靶场』Hackthebox-Meta靶机

宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。

团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。

原文始发于微信公众号(宸极实验室):『靶场』Hackthebox-Meta靶机

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月9日19:27:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  『靶场』Hackthebox-Meta靶机 http://cn-sec.com/archives/992705.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: