**
HackTheBox-Linux-Canape-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/134
靶机难度:中级(4.7/10)
靶机发布日期:2018年9月15日
靶机描述:
Canape is a moderate difficulty machine, however the use of a file (.git) that is not included in the dirbuster wordlists can greatly increase the difficulty for some users. This machine also requires a basic understanding of Python to be able to find the exploitable point in the application.
作者:大余
时间:2020-06-09
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.70…
Nmap发现开放了Apache和OpenSSH服务…还发现了.git目录
浏览apache页面发现存在View和submit页面…
查看VIew发现了一些对话,homer用户信息…
nmap前面扫描发现了.git目录发现了很多文件…
查看后在config发现了域名信息…添加
添加域名后,下载了git包…可看到存在__init py文件等信息…
阅读int_py发现:
这是处理/submit页面的部分,它接受POST值character和quote,如果其中任何一个为null以及白名单中不存在该字符,则抛出错误,这里可以引用名称,如果它们都有效就会p_id使用char+quote数据的md5sum初始化一个变量,然后在tmp文件夹中以.p扩展名创建一个同名文件(该文件应该是一个pickle文件),然后将其填充char+quote数据…
Python的pickle库有助于序列化数据和存储,并且像大多数使用各种语言的序列化库一样容易受到攻击,例如Celestial上的NodeJs序列化漏洞…
可以到google搜索相关pickle漏洞信息…
通过简单编写EXP,成功获得了www权限…
上传LinEnum.sh枚举靶机信息…
发现5984在本地默认监听,测试看看…
通过curl测试,可以枚举数据库信息…
使用/_all_dbs/api调用,看到它具有6个数据库,继续从中搜索_users和passwd…
虽然没获取,这里需要创建数据库用户名密码,可以通过corrcet curl PUT请求来创建用户名,来利用此数据库获得信息…
curl -X PUT 'http://localhost:5984/_users/org.couchdb.user:dayu' --data-binary '{
"type": "user",
"name": "dayu",
"roles": ["_admin"],
"roles": [],
"password": "dayuxiyou"
}'
创建dayu的管理员用户,密码为dayuxiyou…
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/_all_docs
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc4380019e4
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc43800368d
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438003e5f
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438004738
可以看到得到了一堆id,继续利用id获得信息…
获得了密码信息…
查看到了用户信息…直接su登录了用户权限…获得了user_flag信息…
sudo -l发现允许以root身份运行pip,直接创建一个简单shell python即可…
然后以root来执行pip安装…
创建setup.py python脚本,成功获得了反向外壳root权限…
获得root_flag信息…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。