No.167-HackTheBox-Linux-Player-Walkthrough渗透学习

**

HackTheBox-Linux-Player-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/196
靶机难度：高级（4.6/10）
靶机发布日期：2019年11月5日
靶机描述：
Player is a Hard difficulty Linux box featuring multiple vhosts and a vulnerable SSH server. Sensitive information gained from a chat can be leveraged to find source code. This is used to gain access to an internal application vulnerable to LFI through FFMPEG, leading to credential disclosure. The vulnerable SSH server is exploited to login to a Codiad instance, which can be used to gain a foothold. Process enumeration reveals a cron job which executes a script that is vulnerable to PHP deserialization. The script is exploited to write files and gain a shell as root.

作者：大余
时间：2020-07-19

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.145…

我这里利用Masscan快速的扫描出了22，80，6686端口，在利用nmap详细的扫描了三个端口信息，6686是ssh服务等…

访问http服务发现404…

爆破目录发现了launcher目录存在…

访问发现该页面左边像是源代码的样式，是泄露还是提示？
右边是倒计时…email可填入…

直接通过burp suit进行拦截分析…
1、该页面存在/launcher/dee8dc8a47256c64630d803a4c40786e.php文件信息…
2、存在cookie值…像base64值…

base64转储后，还是一串数值…
google说这cookie是标准的JWT格式，分为三个部分…
第一部分base64转储后获得了C0B…还需要用于签名的密钥继续收集信息…

我这里通过burpsuit继续爆破子DNS域名信息…
同时也利用Wfuzz进行枚举，发现wfuzz超级快就找到了…
chat、dev…加入hosts

dev是一个登陆页面表单…

查看源代码发现components目录下存在js信息文件…继续查看

服务器正在运行Codiad，google上可以找到相关的漏洞…

可以在此处找到利用PoC。 但是，由于它是经过身份验证的RCE，因此必须先查找凭据，先放放…这是其中思路之一…

由于没有枚举到用户名密码信息…
我转到了注入这块方向去专研…随意输入用户名密码，拦截的目录是/components/user/controller.php…
Codiad是一个库，我需要去找到源代码…

https://github.com/Codiad/Codiad
通过google简单搜索就在github上发现了codiad的库信息…
存在很多目录，该靶机上也是都存在的…开始找下看

发现了process.php好像存在sql注入点…试试…

首先把/components/user/controller.php改为process.php信息…然后很简单的测试，输入了shell创建文件…出现了Unable to create Absolute Path…说明是存在注入点的…肯定的




一顿操作，利用burpsuit枚举了用户目录信息…发现launcher的length长度不一样，很可能可利用该点进行注入…
还是不行，这里浪费了很多时间…第二条思路…跳过…
1、codiad漏洞利用；
2、dev.player.htb注入利用；
先放着…继续枚举

进入chat.player.htb这是对话聊天页面…
通过对话知道staging也是域名之一…

可看到挂着的burpsuit枚举也发现了staging…添加到hosts…
在chat页面没有更多有用的信息了…

跳转到staging.player.htb中…

在contact core team中是个电子邮件IP输入页面…是否存在注入呢…

存在contact.php、fix.php目录信息，Peter、Glenn、Cleveland用户名信息…目录信息都在/var/www下…还是无思路…玩得很开心

我回头继续对player.htb进行查看，开始发现…40768C.php信息…我添加了后缀进行测试…发现成功进入另外页面…
该页面是查看页面后的前端代码页面…找到了…
这是JWT需要的凭证和密匙信息…

登录jwt.io，可看到通过刚获得的凭证和密匙信息，勾选base64选项后，更改了新的cookie值…直接通过burpsuit更改cookie即可…

Send后，发现产生了location值，这是目录…登录试试

可看到重定向到了文件上传页面…没有任何提示可上传文件限制…测试看看

简单写了个txt文本，成功上传，没报错…出现了media，页面，url后缀会自动生成…。AVI的文件…
意思就是上传目录，会通过avi_media传输出来显示…

可看到…avi

通过url，我通过google搜索了一番…
发现了存在CVE可利用…

FFmpeg HLS漏洞利用任意文件读取…下载avi.py…

下载执行，通过帮助执行了脚本…
我简单测试了passwd生成情况…获得了avi…

然后利用脚本生成的AVI文件上传到靶机…

靶机回复了一个vlc的avi视频文件…

查看后，果然获得了靶机上etc/passwd的信息，通过视频展示的…那么，我们可以通过此方式获得想要的东西…
那么需要获得什么呢？？
通过回看笔记，前面获得了很多/var/www/html的目录php文件信息…可以通过avi来展示出其中这些信息的内容…开始

利用脚本输出avi

上传获得avi查看后，发现了telegen用户名密码…这里还查看了很多php信息，省略不截图了…方法一致

通过nmap枚举的ssh新端口，登录了telegen用户…
发现权限贼低…telegen还存在lshell权限执行…
由于权限很低，我查看了ssh版本，7.2…

本地搜索，发现了可利用CVE-2016-3115，39569EXP…

通过EXP提示，成功登录…通过.readfile阅读获得了user_flag信息…

继续查看fix.php信息…发现了peter用户名密码？？该目录是前面burpsuit枚举发现的…

通过peter成功登录dev.player.htb表单页面…首先证明了peter是codiad的页面用户名密码…
这里有两个思路可以提权了…
1、利用前面的codiad的POC进行提权即可…
2、直接在该页面写shell提权…
第一种方法很简单，EXP下载查看h后，按照提权即可…

我尝试了第二种思路提权…首先创建目录…提示报错，demo/home下才能生成目录…

重新写入…

写入后，创建shell文件…

创建了dayu.php文件后，复制了php-rever-…shell进入…

获得了反向外壳…
这里su登陆了前面Avi获取的telegen用户…

继续枚举信息提权root
上传pspy32监测进程…
发现了buff.php一直以root权限进行着…

查看后发现了熟悉的面孔…一串数字加php文件…这不是前面就获取过么…
简单解释下该脚本：
该脚本创建一个playBuff类的对象，然后对其进行序列化并将结果存储在变量中，然后将文件merge.log的内容读入$ data，以$ data作为参数调用反序列化方法，根据数字PHP文档，未序列化的方法将序列化的字符串作为输入，并尝试调用__wakeup（）函数…等等等
简单读懂后，直接修改数字php，写入shell即可…先查看下内容吧

这就简单的脚本…当然，下面的代码是我测试写入的…

通过测试，echo直接写入shell覆盖数字php所有内容即可…直接获得了反向外壳…
获得了root_flag信息…
这里还没结束…
因为中途dev.player.htb中枚举到的process.php思路，肯定有注入存在…还没解决…
经过两个小时的测试测试…我已经头晕了，一直回复can’t open file…
我会在回来的…估计是process.php脚本通读还是不够透彻…在笔记上记住这里有个问题，等我成大佬了回来研究…加油…

目录域名爆破–Codiad漏洞利用–burpsuit注入枚举–JWT信息枚举转换–FFmpeg HLS AVI文件上传漏洞利用–SSH的CVE-2016-3115漏洞利用–文件写入shell提权–进程枚举–通读php脚本写入shell获得root权限…

全程离不开burpsuit神器…让我进一步熟悉了burpsuit使用…这台靶机挺爽的打起来…
这里我全程没有写任何命令，全在图里，到了这地步，以后会很少写命令出来了，该懂的前面都懂了，不懂的也别跳跃学习了…巩固下基础
这台靶机我给了高级，是因为思路很多，很舒服…

由于我们已经成功得到root权限查看user和root.txt，因此完成这台高级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。