RouterSpace
Data: June 21, 2022
Level: Medium
Summarize: 1、安卓渗透 burp 抓包测试接口
2、写入ssh 公钥登录主机
3、命令限制传输 curl wget 使用SCP传输绕过
4、https://0xdedinfosec.vercel.app/posts/hackthebox-routerspace-writeup#cve-2021-3156
Tags: CVE-2021-3156, SCP
nmap
扫描发现只开放了 22,80端口
下载得到 http://10.10.11.148/RouterSpace.apk
用夜神模拟器及 burp 代理抓包来测试 app
通过抓包发现 check status 按钮会POST数据
造成命令执行
注意 host 需要填写至本地 hosts 文件 为 routerspace.htb
paul
得到普通用户权限
{"ip":"0.0.0.0|echo '.pub file' > /home/paul/.ssh/authorized_keys"}
用 liepeas 做信息搜集
发现有 https://github.com/worawit/CVE-2021-3156/blob/main/exploit_nss.py 漏洞
需要注意的是当使用 wget curl 等做文件传输时会有拦截
所以传输文件用 scp 就行
scp -i /home/kali/.ssh/id_rsa exploit.py paul@10.10.11.148:.
ROOT
运行 exp 后得到 root