HTB-靶机-Lazy

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.18

nmap -sC -sV -A -p- -Pn -oN lazy.nmap 10.10.10.18

nmap扫描结果

开放了两个端口22和80，访问web应用

根据上面显示有个注册和登录界面，现在注册个用户和密码一样的bmfx，这里使用burpsuite抓包了，可以使用sqlmap的参数r跑一下看有么有注入，注册完成之后登录进去

没看到啥有用的信息，目录爆破也没发现可利用的，查了下资料反馈目标靶机存在Padding Oracle Attack - Oracle填充攻击，相关原理参考下面链接

https://www.cnblogs.com/wh4am1/p/6557184.html
https://www.t00ls.net/articles-58407.html
https://www.freebuf.com/articles/database/151167.html

知道了此漏洞，使用对应的exploit代码：https://github.com/AonCyberLabs/PadBuster/blob/master/padBuster.pl 直接进行测试

 

 

上述是先验证下当前注册的用户，看是否成功，确认没问题，直接尝试填充管理员admin用户，最终得出admin用户的cookie，然后使用burpsuite抓包替换cookie信息即可登录admin用户，这里替换cookie方法很多，可以是F12 进行开发者模式更改，也可以是fiddler进行更改，我这里使用burpsuite替换

启用此脚本即可

上述配置好之后直接刷新访问原来的页面

发现已经是admin用户，查看页面的My Key信息获得了登录目标的用户名和私钥信息，本地尝试直接加载私钥登录目标靶机成功

查看家目录，发现有个backup文件，显示红色，说明含有suid权限，执行一下看看

确认是调用cat命令查看/etc/shadow 文件信息，当然也是可以使用gdb分析此文件；到了此处带有setuid权限而且是调用命令，就可以使用全局环境变量的方式进行提权，前面我玩vulnhub的靶机的时候也有演示过，这里就带过了

意思就是在tmp目录下新建个文件名称为cat的文件，然后里面写入/bin/sh 或者/bin/bash -p 都可以；