一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 128 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/134
靶机难度:中级(4.7/10)
靶机发布日期:2018年9月15日
靶机描述:
Canape is a moderate difficulty machine, however the use of a file (.git) that is not included in the dirbuster wordlists can greatly increase the difficulty for some users. This machine also requires a basic understanding of Python to be able to find the exploitable point in the application.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.70....
Nmap发现开放了Apache和OpenSSH服务....还发现了.git目录
浏览apache页面发现存在View和submit页面...
查看VIew发现了一些对话,homer用户信息...
nmap前面扫描发现了.git目录发现了很多文件....
查看后在config发现了域名信息...添加
添加域名后,下载了git包...可看到存在__init py文件等信息...
阅读int_py发现:
这是处理/submit页面的部分,它接受POST值character和quote,如果其中任何一个为null以及白名单中不存在该字符,则抛出错误,这里可以引用名称,如果它们都有效就会p_id使用char+quote数据的md5sum初始化一个变量,然后在tmp文件夹中以.p扩展名创建一个同名文件(该文件应该是一个pickle文件),然后将其填充char+quote数据....
Python的pickle库有助于序列化数据和存储,并且像大多数使用各种语言的序列化库一样容易受到攻击,例如Celestial上的NodeJs序列化漏洞....
可以到google搜索相关pickle漏洞信息...
通过简单编写EXP,成功获得了www权限...
上传LinEnum.sh枚举靶机信息...
发现5984在本地默认监听,测试看看...
通过curl测试,可以枚举数据库信息...
使用/_all_dbs/api调用,看到它具有6个数据库,继续从中搜索_users和passwd...
虽然没获取,这里需要创建数据库用户名密码,可以通过corrcet curl PUT请求来创建用户名,来利用此数据库获得信息...
curl -X PUT 'http://localhost:5984/_users/org.couchdb.user:dayu' --data-binary '{"type": "user","name": "dayu","roles": ["_admin"],"roles": [],"password": "dayuxiyou"}'
创建dayu的管理员用户,密码为dayuxiyou....
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/_all_docscurl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc4380019e4curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc43800368dcurl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438003e5fcurl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438004738可以看到得到了一堆id,继续利用id获得信息...
获得了密码信息...
查看到了用户信息...直接su登录了用户权限...获得了user_flag信息...
sudo -l发现允许以root身份运行pip,直接创建一个简单shell python即可...
然后以root来执行pip安装....
创建setup.py python脚本,成功获得了反向外壳root权限...
获得root_flag信息...
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~随缘收徒中~~随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全的第 119 篇文章,一个每日分享渗透小技巧的公众号大家好,欢迎关注!
本文始发于微信公众号(大余安全):HackTheBox-Linux-Canape
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论