**
HackTheBox-Linux-Lazy-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/18
靶机难度:中级(4.8/10)
靶机发布日期:2017年10月5日
靶机描述:
Lazy mainly focuses on the use of padding oracle attacks, however there are several unintended workarounds that are relatively easier, and many users miss the intended attack vector. Lazy also touches on basic exploitation of SUID binaries and using environment variables to aid in privilege escalation.
作者:大余
时间:2020-05-15
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.18…
Nmap发现开放了OpenSSH和Apache服务…
登录进来有一个Login and Register的选项,创建一个新帐户…dayu
这里我利用Bp拦截分析了sql注入…发现存在注入…直接测试后前几个就测试成功了…
直接通过admin=注册账户后,直接登录到了admin管理员用户权限内…这里估计存在BUG…或者作者遗漏了什么重要的东西…
进来后直接可以看到存在rsa密匙凭证…那这里直接通过nmap发现ssh服务登录即可获得user信息…(这里和昨天的靶机一样,昨天文章靶机直接文件上传就提权到了root,惊呆了…)
但是我还是想通过别的途径继续获得密匙…继续深入看看…
这里前面就创建了dayu用户…登录
继续BP拦截查看到了cookie:auth值…
这里存在漏洞,存在填充oracle攻击行为,维基百科可以阅读下此漏洞…现实会遇到的…
填充oracle攻击是一种使用加密消息的填充验证来解密密文的攻击,在密码学中,通常必须填充(扩展)可变长度的明文消息与基础密码原语进行兼容,攻击依赖于具有“填充预言”的人员,该人员可以自由响应有关邮件是否正确填充的查询…(这是google翻译来的…)
吴翰清《白帽子讲WEB安全》书中也讲解了此漏洞…开始吧,不懂的百度也能查看很多信息…
命令:perl padBuster.pl http://10.10.10.18/index.php BYWO%2BQTJb7XTDybidv9P%2BkewvWVcRk8J 8 -cookies auth=BYWO%2BQTJb7XTDybidv9P%2BkewvWVcRk8J -plaintext user=admin
直接利用cookie 截取的auth值进行…
这里利用padBuster.pl获取admin的auth值…
经过一段时间,获取到了…直接更换填入即可…
这里就没截图了,通过BP更换auth,然后输出,页面会通过admin的auth跳转到admin权限页面…从而获取rsa值…
通过获取的rsa值,ssh成功登陆…获取的user信息…
在mitsos目录下还存在二进制backup程序…分析看看…
通过分析…在备份实用程序上运行字符串会显示它引用了cat命令,而没有指向二进制文件的实际路径它显示cat /etc/shadow并且cat未指定完整路径…
检查PATH,可以看到cat实际位置…
cat在/bin/中,直接创建一个cat文件,写入/bin/sh并赋予权限…在执行backup后会首先搜索cat /tmp,一旦找到它将执行并以root用户身份给我shell…
成功获得root权限…
通过读取方式获得了root信息…
最近更新很快,估计是熟练的缘故…做起来很顺手…理解起来也不困难了…
感谢坚持的自己…NO.100了…加油
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中等难度的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
