Hack The Box——OpenKeyS
目录
简介
信息收集
漏洞发现
登录绕过
漏洞利用
权限提升
总结
简介
靶机比较简单,通过目录扫描发现swp文件,分析文件发现auth.php源码和用户名,然后利用CVE-2019-19521绕过登录,接着伪造Cookie获取用户的SSH私钥,利用该文件登录目标主机,最后利用CVE-2019-19520/CVE-2019-19522成功提升至root权限。
信息收集
使用nmap快速扫描目标主机开放的端口和运行的服务,发现开启22和80端口,分别运行OpenSSH 8.1和OpenBSD httpd服务,如图:
访问80端口Web服务发现是登录页面,如图:
测试发现不存在弱口令和SQL注入漏洞,源码中未发现有用信息。然后扫描网站目录和文件发现存在auth.php和auth.php.swp文件,如图:
查看auth.php未得到任何信息,查看auth.php.swp文件发现网站目录和域名等信息,如图:
下载文件到本地,然后使用vim -r auth.php.swp恢复文件,发现输入的用户名和密码经过过滤和转义后使用../auth_helpers/check_auth程序进行验证,如图:
在文件末尾初始化函数中发现SESSION变量可控,如图:
使用strings命令查看文件中的可打印字符串,如图:
比网页显示的美观很多。访问../auth_helpers/check_auth文件直接下载到了本地,然后使用file命令分析程序check_auth,如图:
文件是ELF可执行程序,调用了动态链接库/usr/libexec/ld.so,使用IDA分析发现代码很少,但水平有限未分析出什么问题。使用Google搜索发现可能存在CVE-2019-19519(权限提升漏洞),CVE-2019-19520(权限提升漏洞),CVE-2019-19521(身份验证绕过),CVE-2019-19522(权限提升漏洞)。详情在这里。
漏洞发现
登录绕过
在登录页面输入用户名-schallenge和任意密码测试CVE-2019-19521漏洞是否存在,如图:
成功登录,如图:
但提示没有用户-schallenge的OpenSSH key。
漏洞利用
分析前边发现的可控的SESSION变量username,尝试在Cookie中添加username变量,值设置为靶机名称openkeys,然后刷新页面重新登录成功,如图:
但依旧提示没有用户openkeys的OpenSSH key,这说明用户openkeys不存在。尝试使用auth.php.swp文件中的出现的jennifer单词,成功获得OpenSSH key,如图:
然后将SSH私钥保存到本地,并改变权限为600,然后使用该私钥登录目标主机,如图:
成功获得用户jennifer的Shell。
权限提升
查看内核版本发现是OpenBSD 6.6,使用CVE-2019-19726未成功。然后使用CVE-2019-19520/CVE-2019-19522成功提升至root权限,如图:
总结
靶机整体来说比较简单,偏CTF类型,不过通过获取的信息搜索到CVE-2019-19521可能需要些时间,还有可能在check_auth文件上花很多时间。
Hack The Box——OpenKeyS相关推荐
- 【Hack The Box】linux练习-- SneakyMailer
HTB 学习笔记 [Hack The Box]linux练习-- SneakyMailer
- Hack The Box - Access Writeup
第一次尝试Hack The Box,在难度较低的Access上,前后花了有两天的时间,汗.收获还是很大,在此记录一下,以便后阅. 首先是获取user,通过nmap扫描,可以发现目标主机开了三个端口21 ...
- Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell,ImageMagrick命令执行漏洞横向提权,更改环境配置SUDO纵向提权
Hack The Box - Meta Hack The Box开始使用流程看这篇 文章目录 Hack The Box - Meta 整体思路 1.Nmap扫描 2.Exiftool远程代码执行漏洞( ...
- 【Hack The Box】linux练习-- Blunder
HTB 学习笔记 [Hack The Box]linux练习-- Blunder
- Hack The Box - Catch 利用let chat API查询信息,Cachet配置泄露漏洞获取ssh登录密码,apk代码注入漏洞利用获取root权限
Hack The Box-Catch Hack The Box开始使用流程看这篇 文章目录 Hack The Box-Catch 整体思路 1.Nmap扫描 2.apk文件信息收集 3.lets ch ...
- 【Hack The Box】windows练习-- Silo
HTB 学习笔记 [Hack The Box]windows练习-- Silo
- 【Hack The Box】linux练习-- Ophiuchi
HTB 学习笔记 [Hack The Box]linux练习-- Ophiuchi
- 【Hack The Box】linux练习-- Doctor
HTB 学习笔记 [Hack The Box]linux练习-- Doctor
- 【Hack The Box】linux练习-- Tabby
HTB 学习笔记 [Hack The Box]linux练习-- Tabby
最新文章
- 为什么计算机系统安全具有整体性质,操作系统全局性质的形式化描述和验证
- Django实战(20):分页(Pagination)
- ubuntu下KDvelop中怎么显示行号
- git命令详解( 八)
- 数据结构压缩_将数据压缩到数据结构中
- Terraform Module 可视化正式发布
- LeetCode--95. 不同的二叉树搜索Ⅱ(动态规划)
- SpringClound介绍
- Spring Cloud Netflix 服务注册与发现 — Eureka 入门案例
- Oracle 触发器写法
- 如何将eclipse项目和svn关联(从服务器取项目)
- 夜神模拟器adb连接电脑
- 解决使用mp4v2封装的mp4文件在Wowza的hls上无法播放问题
- Python3爬取企查查网站的企业年表并存入MySQL
- Tomcat:-Djava.net.preferIPv4Stack=true只支持ipv4
- Linux下网络传输测速程序小记
- android中GridView设置间距
- 如何认识那些从硅谷文化中淘金的公司们
- 转 虫师的selenium借助AutoIt识别上传(下载)详解
- java实现车牌转地区,工具类
热门文章
- Web信息收集之搜索引擎——Google Hacking
- “蝶变•跨越”2019年度慧聪LED显示屏行业品牌盛会各奖项15强以及单项奖10强名单诞生!!!
- 验证性因素分析的几个指标
- 华为手表连接苹果手机显示无法连接服务器,苹果用户福音!HUAWEI WATCH完美适配...
- 【Pygame实战】星战领衔,修仙种田,四月我们能玩到什么游戏?这款《星际大战》不容错过啦~
- Jav的空闲链表简介
- HTML+CSS网页设计期末课程大作——体育篮球(5页面)大学生体育运动网页设计模板代码 校园篮球网页作业成品
- typecho php blog,Typecho教程
- win10切换浏览器的编码方式(set character encoding插件)
- 在武测学习(一):神经网络入门——《Python深度学习》学习笔记