大余每日一攻防SNAKEOIL(十七)

admin
admin
admin
138359
文章
113
评论
2024年1月10日14:43:26评论36 views字数 2096阅读6分59秒阅读模式

简介

每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场,为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升,使他们更好地理解实际攻击和防御场景。

每日一攻防特色:环境攻破:以简单直白的方式攻破每日选择的渗透测试环境。代码审计:进行攻防分析,结合代码审计,深入挖掘漏洞和强化防御。

作者:大余

一首歌送给你们,一首歌一攻防一项目!房东的猫唱的《我可以》送给大家!

一、网络枚举

大余每日一攻防SNAKEOIL(十七)
1703569890_658a69e28236485f4e631.png!small?1703569891587

大余每日一攻防SNAKEOIL(十七)发现端口开启22、80和8080端口。

二、Web信息收集

访问80页面:大余每日一攻防SNAKEOIL(十七)80页面并没有什么有用信息。

大余每日一攻防SNAKEOIL(十七)枚举8080页面发现信息提示!

三、目录爆破

  1. dirb http://192.168.253.129:8080/

大余每日一攻防SNAKEOIL(十七)获取多个目录信息!

大余每日一攻防SNAKEOIL(十七)
1703569921_658a6a01f2379ab463856.png!small?1703569922762
  1. http://192.168.253.129:8080/users

访问users时返回了users的账户和密码信息。

四、Burpsuite分析

大余每日一攻防SNAKEOIL(十七)访问registration报错,BP抓包:大余每日一攻防SNAKEOIL(十七)当GET的请求改为POST时,回显:

  1. Username field cannot be blank

尝试提交用户信息:username=dayu大余每日一攻防SNAKEOIL(十七)提示password也不能是空,那就写入密码进行注入:

  1. Content-type: application/x-www-form-urlencodedusername=dayu&password=123

大余每日一攻防SNAKEOIL(十七)这里还需要在请求头部加入type信息,最后加入pass参数成功注册成功:dayu/123

  1. "message": "User dayu was created. Please use the login API to log in!", "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcmVzaCI6ZmFsc2UsImlhdCI6MTcwMzU1MjMzNSwianRpIjoiN2YxZTBjYmItZmU0NC00ZTBmLTkwZTQtN2U3OGJmNjgxNTI1IiwidHlwZSI6ImFjY2VzcyIsInN1YiI6ImRheXUiLCJuYmYiOjE3MDM1NTIzMzUsImV4cCI6MTcwMzU1MzIzNX0.YZRqLYKamzezOAmTDvgGy3mhlbcEnJt4LzhaEgOeTgc"}

还给了token信息,接着访问login页面进行登录,同样的操作:大余每日一攻防SNAKEOIL(十七)返回了同样的access_token,这是登录后cookie值!

大余每日一攻防SNAKEOIL(十七)访问run发现改POST发现提示:

  1. Please provide URL to request in the form url:port. Example: 127.0.0.1:12345

请求体要用json格式:

  1. Content-Type: application/json{"url":"127.0.0.1:80"}

大余每日一攻防SNAKEOIL(十七)访问后提示要secret key,尝试去secret目录下找东西:大余每日一攻防SNAKEOIL(十七)访问/serect返回:Internal Server Error!!大余每日一攻防SNAKEOIL(十七)提示我们网站发现:大余每日一攻防SNAKEOIL(十七)

  1. Cookie:access_token_cookie=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcmVzaCI6ZmFsc2UsImlhdCI6MTcwMzU1ODk4MiwianRpIjoiZDUxMTVkZmEtOTVlOC00M2JlLTkzYzAtNWNiM2FjNWJlNDZiIiwidHlwZSI6ImFjY2VzcyIsInN1YiI6ImRheXUiLCJuYmYiOjE3MDM1NTg5ODIsImV4cCI6MTcwMzU1OTg4Mn0.fLEZjuRngHRGEvxMscTl5kVwMvhlXPznudZeTLEFtCo
大余每日一攻防SNAKEOIL(十七)
1703569985_658a6a41d24cc62a0778e.png!small?1703569987223

得到:

  1. {"ip-address": "", "secret_key": "commandexecutionissecret"}

再在run里面提交:大余每日一攻防SNAKEOIL(十七)发现是curl执行的统计信息,尝试命令注入,发现成功返回信息:大余每日一攻防SNAKEOIL(十七)成功回显id信息,枚举当前目录文件:

大余每日一攻防SNAKEOIL(十七)发现存在app.py文件信息:大余每日一攻防SNAKEOIL(十七)查看内容发现了key?猜测是密码信息:

大余每日一攻防SNAKEOIL(十七)读取当前存在用户信息,发现存在patrick普通用户!

  1. ssh patrick@192.168.253.129NOreasonableDOUBTthisPASSWORDisGOOD

大余每日一攻防SNAKEOIL(十七)成功登录!

五、提权

使用sudo -l发现可以获取all:大余每日一攻防SNAKEOIL(十七)直接提权:

发现里面存在docker,该web都是docker和映射出来的。

原文始发于微信公众号(大余安全):大余每日一攻防SNAKEOIL(十七)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月10日14:43:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大余每日一攻防SNAKEOIL(十七)https://cn-sec.com/archives/2336257.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息