Hack The Box - Shared 利用ipython特权升级漏洞横向提权,redis加载命令执行模块纵向提权

已于 2022-12-02 16:09:46 修改
阅读量487 收藏 1
点赞数 1
分类专栏: # Medium 文章标签: sql ipython redis
于 2022-11-16 00:16:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42587307/article/details/127876186
版权

Hack The Box - Shared

在这里插入图片描述
Hack The Box开始使用流程看这篇

文章目录

整体思路

1.Nmap扫描

使用工具nmap扫描所有开放端口

命令:nmap ip -p- -v --min-rate=10000

在这里插入图片描述

扫描已开放端口的具体信息

命令:nmap ip -A -sC -sV -p 22,80,443 -T4

在这里插入图片描述

这里可以看到80端口处提示会重定向到http://shared.htb,所以下一步我们将share.htb添加到hosts中

在这里插入图片描述

2.网站漏洞分析

正常访问域名,得到一个购物界面,页面最底部提示我们这个网站用的框架是PrestaShop,但是没有说具体的版本

在这里插入图片描述

用searchsploit搜索一下该框架的漏洞,利用最新的sql注入试了一下,跟这个网站不太相符

在这里插入图片描述
在这里插入图片描述

再回到原网站中点击商品链接,尝试购买

在这里插入图片描述

网页跳转到另一个域名checkout.shared.htb,将新域名添加到hosts中,在当前浏览器成功访问,并的到购物车中数据

在这里插入图片描述

当我们换另一个浏览器访问时,无法调取数据库中的商品数据,这里考虑可能存在Sql注入,使用Burpsuite进行测试

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在原字符串末尾添加单引号,商品编号处显示"Not Found",在原字符串末尾添加"’ – -",商品编号变回原样

现在可以确定这里存在Sql注入漏洞

3.Sql注入漏洞利用

使用字符"’ union select 1,2,3,…"检测数据库信息写出位置

将原字符串改造为:%7B%22asd**' union select 1,2,4-- -**%22%3A%221%22%7D,得到输出

在这里插入图片描述

现在可以确定,数据库在第二个字段中输出,接下来继续构造payload

' union select 1,(select group_concat(schema_name) from INFORMATION_SCHEMA.SCHEMATA),3-- -

成功返回数据库名称

在这里插入图片描述

构造payload得到checkout数据库的所有表并返回用户表中的信息

' union select 1,(select group_concat(TABLE_NAME,':',COLUMN_NAME) from INFORMATION_SCHEMA.COLUMNS where TABLE_SCHEMA like 'checkout'),3-- -

' union select 1,(select group_concat(username,':',password) from user),3-- -

在这里插入图片描述

在这里插入图片描述

成功得到用户信息,james_mason:fc895d4eddc2fc12f995e18c865cf273

经过MD5密码破解,得到密码Soleil101

在这里插入图片描述

ssh登入

在这里插入图片描述

进入/var/www/shared.htb/ps/var/cache/prod/ContainerGwumvvn/appProdProjectContainer.php中找到一段数据库信息

在这里插入图片描述

成功进入数据库中,但没有找到什么有用的信息

在这里插入图片描述

经过一番探索,我发现这个用户并没有什么权限,继续尝试横向提权

在这里插入图片描述

在这里插入图片描述

4.Ipython漏洞利用

我们看到用户dan_smith可以访问user.txt,并且这里ipython的版本为8.0.0,搜索一下相关rce

在这里插入图片描述

这个漏洞的版本正好符合,我们照葫芦画瓢,接下来新建文件夹/tmp/profile_default/startup/shell.py,并进行漏洞利用

在这里插入图片描述

另外开一个窗口进行反弹shell,这里我们可以看到,反弹得到的仍然是之前的权限

在这里插入图片描述

使用linpeas提权工具进行扫描,根据扫描结果的提示,我们可以尝试将刚才创建的反弹shell文件放到**/opt/scripts_review**下,然后系统会在1min之内执行下面这些命令,ipython命令执行完毕后反弹shell

在这里插入图片描述

横向提权得到dan_smith用户权限,但这个shell窗口只能持续一段时间,

在这里插入图片描述

我们根据得到的用户私钥,使用命令ssh -i key得到稳定的shell窗口

在这里插入图片描述

找到属于当前用户所在组的所属文件夹,从文件夹名称可以看出与redis有关,使用命令nc -nvlp 6379,对redis并且把这个文件夹传回到本地

在这里插入图片描述

5.redis漏洞利用

我尝试执行这个文件,这里说端口6379无法连接,我们打开本地的6379监听,之后继续运行redis_connector_dev,得到了一串输出

在这里插入图片描述
在这里插入图片描述

回到靶机中尝试连接redis,搜索一些可以利用的redis漏洞,成功找到一个可以反弹shell的漏洞,这里通过加载一个模块,加载后可以运行system.exec命令,再利用这个命令执行反弹shell命令

在这里插入图片描述

redis的身份认证是有时间限制的,大约1min后之前的一切操作都需要从头开始

在这里插入图片描述

反弹得到shell,最终得到root的flag

在这里插入图片描述

打完收工!

在这里插入图片描述

知识点汇总

1.在vi编辑器中使用命令**%s/;/\r/g**,vi编辑器换行时使用,将文本中的分号改为换行;

2.find / -group developer -ls 找到属于developer组的文件夹,这也很可能是提权的关键点;

3.使用命令2>/dev/null忽略错误提示;

4.grep -i -R pass . | less -S 在当前文件中寻找包含’pass’关键字的那一行,并且忽略大小写,在每行行尾直接截断,不换行;

5.命令**scp -i rsa username@ip:file .**从目标机器中下载file到当前位置,另一种用法:**scp -i rsa file username@ip:将当前位置的file上传到目标机器/home/username/**中;

工具汇总

1.nmap

2.BurpSuite

3.HackTricks

4.Linpeas

5.Searchexploit

6.CrackStation

漏洞利用

ipython CVE-2022-21699

继续加油 :)

Zyu0
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jupyter-manim:IPythonJupyter的manim单元魔术显示输出视频
05-23
然后,您可以像使用manim命令一样使用魔术:将参数传递给manim,就像这些参数是命令行选项一样。 例如,要渲染用Shapes(Scene)类定义的Shapes(Scene)使用 % % manim Shapes from manimlib . scene . scene import...
hackthebox - postman (考点:redis安全 & ssh2john & webmin安全)
冬萍子癸水
05-21 578
1 扫描 22想到可能会有ssh登录, 80进web搜集信息,包括用dirbuster扫目录,但是没找到什么有价值的。 10000是webmin是远程管理系统。也没账号密码。 6379是redis服务,网上也有很多科普这里。 理论上这应该是个在受信任内部环境运行的数据库工具,不应对外开放,既然对外了,可能这就是个利用突破口,可能连密码认证都没要。可以安装用这个工具利用apt install redis-tools Scanning 1 hosts [131070 ports/host] Discovered
HackTheBox配置详解
2301_78325931的博客
06-02 356
2023HackTheBox配置一次过
HackTheBox - 学院【CPTS】复习2 - Pivoting, Tunneling, and Port Forwarding
M1n9K1n9的博客
06-25 325
Rpivot基于python,一大亮点是反向socks隧道搭建,这将能有效的规避防火墙入站规则。
渗透测试学习日记之Hack the Box - Redeemer
ma963852的博客
06-17 665
老规矩第一步启动机器计算机上哪个TCP端口处于开放状态?6379提示为4位,最后一位是9。本来想四位数端口全扫(nmap -sV -sC -v -p 1000-9999 10.129.136.187)。网络问题太慢了。最后只能指定端口扫描。 计算机上打开的端口上正在运行那个服务?redis Redis是什么类型的数据库?从以下选项中选择:(i)In-memory Database(ii)Traditional DatabaseIn-memory Database 那个命令行实用程序用于Redis服务器交互?
Hack the box -- 靶机渗透测试(TIER0)
wjishuxiaobai的博客
06-21 714
本文针对Hack the box 靶机渗透过程进行记录。开启在线靶机,靶机IP为10.129.10.113。 首先使用Nmap进行端口扫描,扫描命令为nmap -v -sV -sC 10.129.50.113。 发现其开放了23端口的telnet服务,即可以提供远程登陆。所以我们尝试使用telnet连接目标主机。 不出所料需要密码进行登陆。 猜测密码,尝试登陆 使用常见的密码如admin、administrator、root等,发现输入root成功登陆。 查找Flag 总结 至此,靶机Meow已成功攻破。
Hackthebox Shared 利用cookie进行sql注入,Redis沙盒逃逸漏洞提权
Ba1_Ma0的博客
11-11 1295
这个漏洞允许一个用户以另一个用户身份运行代码,我们可以执行cat命令,查看dan_smith用户的ssh密钥,之后ssh登录就好了。成功得到dan_smith用户的密钥,在kali上创建一个名为id_rsa的文件,设置权限为600,将密钥复制进去。我们可以创建一个文件,里面是我们的反向shell,然后让程序执行这个文件,就能拿到root权限了。成功获得dan_smith用户的权限,在查看用户时,发现了一个奇怪的组。找到一个有suid权限的程序,他是root用户创建的,但是我们可以执行
019-执行Python的方式-03-IPython.mp4
01-28
Python7天速成
ipython-autoimport:在IPython中自动导入缺少的模块
05-04
ipython自动导入 在IPython中自动导入缺少的模块: In [1]: plt.plot([1, 2], [3, 4])---------------------------------------------------------------------------NameError Traceback (most recent call last)...
使用IPython下的Net-SNMP来管理类UNIX系统的教程
12-25
引言 对于简单网络管理协议 (SNMP),大多数系统管理员都具有一定的使用经验,或者至少听说过它。如果您正在一个数据中心工作,那么您...有许多任务,如果利用或者配置大规模的 NMS,就好像是一个 Saturn V 火箭,在填满
ipyvega:适用于Vega和Vega-Lite的IPythonJupyter笔记本模块
04-02
IPython Vega 适用于和IPython / Jupyter笔记本模块。 可以在和上查看具有嵌入式可视化功能的笔记本。 如果您使用JupyterLab(而非笔记本电脑),则无需安装此扩展程序,因为JupyterLab内置了对Vega和Vega-Lite的...
SQL Server的基本操作示例
weixin_58566539的博客
04-29 506
SQL Server的基本操作示例
常用SQL命令
最新发布
wenxiaoba的博客
05-02 919
常用SQL语句使用说明和示例
攻防演练作为红方:postgresql提权之UDF提权 ,及其好用的工具
keyboard专栏
04-28 489
在 PostgreSQL 中,用户定义的函数(UDF)提权是一种常见的提升权限的方法,尤其是当你已经获得了数据库的访问权限但需要更高级别系统权限时。UDF 提权涉及在数据库中创建或使用函数,这些函数可以执行系统级别的命令,从而允许攻击者在数据库服务器上执行任意代码。
SQL底层执行过程
qq_14886109的博客
04-28 896
SQL底层执行过程,INNODB,二阶段提交
优化SQL的方法
weixin_44139651的博客
04-26 1470
使用join实现,但不适合join太多表,阿里巴巴开发者手册的规定,join表的数量不应该超过3个,join表数量太多时,会导致mysql在选错索引。一般SQL优化第一考虑的是索引优化,可使用explain命令,查看MySQL执行计划,确认SQL是否有走索引。相对连接查询,子查询使用in关键字实现,具有结构化,相对简单,但是需要创建和删除临时表,增加资源消耗。索引可提升SQL效率,但索引需要额外的存储空间,而且还会有一定的性能消耗。left join,两个表的交集,以及左表剩余的数据,左表为驱动表。
SQL Server】入门教程-基础篇(二)
m0_74229735的博客
04-29 837
本章要讲的就是Sql Server的高级语言,还有后续。
PostgreSQL 怎么查看记录数据的查看或者变更的数据库日志
keyboard专栏
04-28 653
在 PostgreSQL 中,可以通过多种方式配置和查看记录数据变更或查询的日志。
SQL】ACID事务与隔离级别
KX_52517的博客
04-29 932
本文是对数据库事务acid特性和隔离级别的介绍。
pip install ftfy regex tqdm omegaconf pytorch-lightning IPython kornia imageio imageio-ffmpeg einops torch_optimizer setuptools==59.5.0 给出mac版命令
06-01
在Mac上,您可以使用以下命令安装所需的Python库: ```bash pip3 install ftfy regex tqdm omegaconf pytorch-lightning IPython kornia imageio imageio-ffmpeg einops torch_optimizer setuptools==59.5.0 ``` 请注意,这假定您已经安装了Python和pip。如果您还没有安装它们,请先安装它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zyu0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值