Skip to content

Latest commit

 

History

History
143 lines (72 loc) · 8.13 KB

HackTheBox-Linux-Lazy.md

File metadata and controls

143 lines (72 loc) · 8.13 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 94 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/18

靶机难度:中级(4.8/10)

靶机发布日期:2017 年 10 月 5 日

靶机描述:

Lazy mainly focuses on the use of padding oracle attacks, however there are several unintended workarounds that are relatively easier, and many users miss the intended attack vector. Lazy also touches on basic exploitation of SUID binaries and using environment variables to aid in privilege escalation.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.18....

Nmap 发现开放了 OpenSSH 和 Apache 服务....

登录进来有一个 Login and Register 的选项,创建一个新帐户...dayu

这里我利用 Bp 拦截分析了 sql 注入... 发现存在注入... 直接测试后前几个就测试成功了...

直接通过 admin = 注册账户后,直接登录到了 admin 管理员用户权限内.... 这里估计存在 BUG... 或者作者遗漏了什么重要的东西...

进来后直接可以看到存在 rsa 密匙凭证... 那这里直接通过 nmap 发现 ssh 服务登录即可获得 user 信息...(这里和昨天的靶机一样,昨天文章靶机直接文件上传就提权到了 root,惊呆了...)

但是我还是想通过别的途径继续获得密匙... 继续深入看看...

这里前面就创建了 dayu 用户... 登录

继续 BP 拦截查看到了 cookie:auth 值...

这里存在漏洞,存在填充 oracle 攻击行为:

[维基百科](https://en.wikipedia.org/wiki/Padding_oracle_attack)

可以阅读下此漏洞... 现实会遇到的...

填充 oracle 攻击是一种使用加密消息的填充验证来解密密文的攻击,在密码学中,通常必须填充(扩展)可变长度的明文消息与基础密码原语进行兼容,攻击依赖于具有 “填充预言” 的人员,该人员可以自由响应有关邮件是否正确填充的查询...(这是 google 翻译来的...)

吴翰清《白帽子讲 WEB 安全》书中也讲解了此漏洞... 开始吧,不懂的百度也能查看很多信息...

perl padBuster.pl http://10.10.10.18/index.php BYWO%2BQTJb7XTDybidv9P%2BkewvWVcRk8J 8 -cookies auth=BYWO%2BQTJb7XTDybidv9P%2BkewvWVcRk8J -plaintext user=admin

直接利用 cookie 截取的 auth 值进行...

这里利用 padBuster.pl 获取 admin 的 auth 值...

经过一段时间,获取到了... 直接更换填入即可...

这里就没截图了,通过 BP 更换 auth,然后输出,页面会通过 admin 的 auth 跳转到 admin 权限页面... 从而获取 rsa 值...

通过获取的 rsa 值,ssh 成功登陆.. 获取的 user 信息...

在 mitsos 目录下还存在二进制 backup 程序... 分析看看...

通过分析... 在备份实用程序上运行字符串会显示它引用了 cat 命令,而没有指向二进制文件的实际路径它显示 cat /etc/shadow 并且 cat 未指定完整路径....

检查 PATH,可以看到 cat 实际位置...

cat 在 / bin / 中,直接创建一个 cat 文件,写入 / bin/sh 并赋予权限... 在执行 backup 后会首先搜索 cat /tmp,一旦找到它将执行并以 root 用户身份给我 shell...

成功获得 root 权限...

通过读取方式获得了 root 信息...

由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中等难度的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号