目录

简介

信息收集

漏洞发现

登录绕过

漏洞利用

权限提升

总结

简介

靶机比较简单,通过目录扫描发现swp文件,分析文件发现auth.php源码和用户名,然后利用CVE-2019-19521绕过登录,接着伪造Cookie获取用户的SSH私钥,利用该文件登录目标主机,最后利用CVE-2019-19520/CVE-2019-19522成功提升至root权限。

信息收集

使用nmap快速扫描目标主机开放的端口和运行的服务,发现开启22和80端口,分别运行OpenSSH 8.1和OpenBSD httpd服务,如图:

访问80端口Web服务发现是登录页面,如图:

测试发现不存在弱口令和SQL注入漏洞,源码中未发现有用信息。然后扫描网站目录和文件发现存在auth.php和auth.php.swp文件,如图:

查看auth.php未得到任何信息,查看auth.php.swp文件发现网站目录和域名等信息,如图:

下载文件到本地,然后使用vim -r auth.php.swp恢复文件,发现输入的用户名和密码经过过滤和转义后使用../auth_helpers/check_auth程序进行验证,如图:

在文件末尾初始化函数中发现SESSION变量可控,如图:

使用strings命令查看文件中的可打印字符串,如图:

比网页显示的美观很多。访问../auth_helpers/check_auth文件直接下载到了本地,然后使用file命令分析程序check_auth,如图:

文件是ELF可执行程序,调用了动态链接库/usr/libexec/ld.so,使用IDA分析发现代码很少,但水平有限未分析出什么问题。使用Google搜索发现可能存在CVE-2019-19519(权限提升漏洞),CVE-2019-19520(权限提升漏洞),CVE-2019-19521(身份验证绕过),CVE-2019-19522(权限提升漏洞)。详情在这里。

漏洞发现

登录绕过

在登录页面输入用户名-schallenge和任意密码测试CVE-2019-19521漏洞是否存在,如图:

成功登录,如图:

但提示没有用户-schallenge的OpenSSH key。

漏洞利用

分析前边发现的可控的SESSION变量username,尝试在Cookie中添加username变量,值设置为靶机名称openkeys,然后刷新页面重新登录成功,如图:

但依旧提示没有用户openkeys的OpenSSH key,这说明用户openkeys不存在。尝试使用auth.php.swp文件中的出现的jennifer单词,成功获得OpenSSH key,如图:

然后将SSH私钥保存到本地,并改变权限为600,然后使用该私钥登录目标主机,如图:

成功获得用户jennifer的Shell。

权限提升

查看内核版本发现是OpenBSD 6.6,使用CVE-2019-19726未成功。然后使用CVE-2019-19520/CVE-2019-19522成功提升至root权限,如图:

总结

靶机整体来说比较简单,偏CTF类型,不过通过获取的信息搜索到CVE-2019-19521可能需要些时间,还有可能在check_auth文件上花很多时间。

Hack The Box——OpenKeyS相关推荐

  1. 【Hack The Box】linux练习-- SneakyMailer

    HTB 学习笔记 [Hack The Box]linux练习-- SneakyMailer

  2. Hack The Box - Access Writeup

    第一次尝试Hack The Box,在难度较低的Access上,前后花了有两天的时间,汗.收获还是很大,在此记录一下,以便后阅. 首先是获取user,通过nmap扫描,可以发现目标主机开了三个端口21 ...

  3. Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell,ImageMagrick命令执行漏洞横向提权,更改环境配置SUDO纵向提权

    Hack The Box - Meta Hack The Box开始使用流程看这篇 文章目录 Hack The Box - Meta 整体思路 1.Nmap扫描 2.Exiftool远程代码执行漏洞( ...

  4. 【Hack The Box】linux练习-- Blunder

    HTB 学习笔记 [Hack The Box]linux练习-- Blunder

  5. Hack The Box - Catch 利用let chat API查询信息,Cachet配置泄露漏洞获取ssh登录密码,apk代码注入漏洞利用获取root权限

    Hack The Box-Catch Hack The Box开始使用流程看这篇 文章目录 Hack The Box-Catch 整体思路 1.Nmap扫描 2.apk文件信息收集 3.lets ch ...

  6. 【Hack The Box】windows练习-- Silo

    HTB 学习笔记 [Hack The Box]windows练习-- Silo

  7. 【Hack The Box】linux练习-- Ophiuchi

    HTB 学习笔记 [Hack The Box]linux练习-- Ophiuchi

  8. 【Hack The Box】linux练习-- Doctor

    HTB 学习笔记 [Hack The Box]linux练习-- Doctor

  9. 【Hack The Box】linux练习-- Tabby

    HTB 学习笔记 [Hack The Box]linux练习-- Tabby

最新文章

  1. 为什么计算机系统安全具有整体性质,操作系统全局性质的形式化描述和验证
  2. Django实战(20):分页(Pagination)
  3. ubuntu下KDvelop中怎么显示行号
  4. git命令详解( 八)
  5. 数据结构压缩_将数据压缩到数据结构中
  6. Terraform Module 可视化正式发布
  7. LeetCode--95. 不同的二叉树搜索Ⅱ(动态规划)
  8. SpringClound介绍
  9. Spring Cloud Netflix 服务注册与发现 — Eureka 入门案例
  10. Oracle 触发器写法
  11. 如何将eclipse项目和svn关联(从服务器取项目)
  12. 夜神模拟器adb连接电脑
  13. 解决使用mp4v2封装的mp4文件在Wowza的hls上无法播放问题
  14. Python3爬取企查查网站的企业年表并存入MySQL
  15. Tomcat:-Djava.net.preferIPv4Stack=true只支持ipv4
  16. Linux下网络传输测速程序小记
  17. android中GridView设置间距
  18. 如何认识那些从硅谷文化中淘金的公司们
  19. 转 虫师的selenium借助AutoIt识别上传(下载)详解
  20. java实现车牌转地区,工具类

热门文章

  1. Web信息收集之搜索引擎——Google Hacking
  2. “蝶变•跨越”2019年度慧聪LED显示屏行业品牌盛会各奖项15强以及单项奖10强名单诞生!!!
  3. 验证性因素分析的几个指标
  4. 华为手表连接苹果手机显示无法连接服务器,苹果用户福音!HUAWEI WATCH完美适配...
  5. 【Pygame实战】星战领衔,修仙种田,四月我们能玩到什么游戏?这款《星际大战》不容错过啦~
  6. Jav的空闲链表简介
  7. HTML+CSS网页设计期末课程大作——体育篮球(5页面)大学生体育运动网页设计模板代码 校园篮球网页作业成品
  8. typecho php blog,Typecho教程
  9. win10切换浏览器的编码方式(set character encoding插件)
  10. 在武测学习(一):神经网络入门——《Python深度学习》学习笔记