文章归档

置顶文章

Web安全

Web安全基础

PHP相关

Writeups

靶机系列

HackTheBox-Retired

HackTheBox-Active

VulnHub

代码审计

PHP代码审计

大数据安全

机器学习

基础学习

Python

Python基础

Python安全

Java

Java基础

Java安全

算法

Leetcode

随笔

经验

技术

 2021-01-31   606

HackTheBox Passage Walkthrough

0x01 Info Card

0x02 Tools and Tips

  • Nmap
  • CuteNews 2.1.2 Remote Code Execution
  • Hashcat SHA256
  • USBCreator d bus privilege escalation

0x03 Pentesting

Initial Enumeration

Nmap scan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# Nmap 7.91 scan initiated Sat Jan 30 20:26:31 2021 as: nmap -sV -sC -T4 -Pn -oN nmap.txt passage.htb
Nmap scan report for passage.htb (10.10.10.206)
Host is up (0.28s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 17:eb:9e:23:ea:23:b6:b1:bc:c6:4f:db:98:d3:d4:a1 (RSA)
| 256 71:64:51:50:c3:7f:18:47:03:98:3e:5e:b8:10:19:fc (ECDSA)
|_ 256 fd:56:2a:f8:d0:60:a7:f1:a0:a1:47:a4:38:d6:a8:a1 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Passage News
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sat Jan 30 20:27:50 2021 -- 1 IP address (1 host up) scanned in 79.81 seconds

80 port

这是哪国的语言。。orz。不过这好像并不重要,有一个CuteNews的标志,应该就是一个PHP开发的博客CMS。

Google:CuteNews exploite

https://musyokaian.medium.com/cutenews-2-1-2-remote-code-execution-vulnerability-450f29673194

注册用户之后有一个文件上传的漏洞,使用GIF89a文件头绕过。

GitHub上有很多利用脚本:https://github.com/CRFSlick/CVE-2019-11447-POC

Getting User Access

反弹一个www-data的shell出来看着比较舒服,到这一步一般都是看看配置文件或者密码Hash泄露之类的。

查看/etc/passwd有两个用户,分别是paul和nadav。

翻看下面几个文件目录:

users目录中有很多PHP文件:

都是序列化+base64 encode之后的内容。lines文件感觉是这些文件的内容汇总:

Base64 decode:

感觉是Hash值,用hash identify看一下Hash方式

https://hashes.com/en/tools/hash_identifier

没想到直接给我解密出来,这也太方便了吧,hhhh~

拿一个ssh用起来方便一点。

Authorize_keys中nadav的信息,所以navad可以在不需要密码的情况的下登录Paul的SSH,那么反过来,nadav的authorize_keys是不是也有Paul的信息呢?

没毛病,可以直接登录。

Getting Root Access

看一下端口占用情况:

查了一下5353端口是运行mDNS服务,结果发现是rabbit hole…

ps aux | grep root

https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/

具体提权原理咱也没搞明白

1
gdbus call --system --dest com.ubuntu.USBCreator --object-path /com/ubuntu/USBCreator --method com.ubuntu.USBCreator.Image /root/root.txt /tmp/root.txt true
Copyright © ca01h 2019-2021 | 本站总访问量