HACKTHEBOX——Valentine
namp
首先用namp来探测一下靶标开启了哪些端口
http/https
先访问一下站点,看看是否能找到什么内容
两个端口都是这样,展示了一张图片
似乎是在暗示“心脏出血”漏洞
漏洞详情如下
RFC 6520心跳扩展定义了一种测试TLS/DTLS安全通信链路的方法,允许连接一端的计算机发送“心跳请求”消息,消息包含有效载荷(通常是文本字符串),附带有效载荷的长度(用16位整数表示)。随后,接收方计算机必须发送完全相同的有效载荷以返回给发送方。
受影响的OpenSSL版本根据请求消息中的长度字段分配内存缓冲区,用于存储要返回的消息,而不考虑消息中有效载荷的实际长度。因为缺少边界检查,返回的消息不仅包括有效载荷,还可能含有其他恰巧在已分配缓冲区中的消息。
因此,通过构造出载荷短、长度字段中的数值却很大的请求,向存在缺陷的一方(通常是服务器)发送畸形心跳包,利用心脏出血漏洞,引起受害者的回应,这样,攻击者便可读取到受害者内存中至多64千字节的信息,而这块区域先前OpenSSL有可能已经使用过[61]。例如,正常的心跳请求可能会要求一方“返回4个字符的单词‘bird’”,那一方就返回“bird”;“心脏出血请求”(恶意的心跳请求)如“返回500个字符的单词‘bird’”会导致受害者返回“bird”,紧接着是恰储存在受害者活跃内存中的496个字符。这样,攻击者便可能会收到敏感数据,从而危及受害者其它安全通信的保密性。虽然攻击者能对返回的内存块大小有所控制,但却无法决定它的位置,因而不能指定要显示内容。
按照hackthebox的惯性,很有可能服务器存在该漏洞,先暂时放下看看目录扫描结果
gobuster找到一个/dev目录,访问该目录如下所示
hype_key中内容被转化成16进制
将该16进制内容恢复,可以看到一个RSA私钥,但是是加密过的,将结果保存至hype_key_encrypted
尝试使用openssl解密该文件,但是需要密码
查看notes.txt看看是否给出了密码,结果却并不尽如人意
heartbleed
先找到该漏洞利用脚本
使用该脚本尝试攻击,需要使用python2
很明显的base64编码特征
解码得到字符串,疑似密码
可以解密之前找到的私钥
利用该私钥以hype身份登录ssh,新版本openssh禁用了算法,在其后添加-o临时添加算法即可登录
找到user的flag
dirtycow提权
2012年的版本,挺久远,内核很老,可以使用脏牛提权
searchsploit dirty
选择添加用户的,将脚本复制到工作目录下
先将脚本上传至靶标
然后编译,给予执行权限,然后执行
最后切换至firefart用户即可
然后拿到flag,结束!
