本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.113
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.113 -o ./RedCross-autorecon
开放80和443,先访问web应用看看,使用IP地址访问的时候会自动跳转一个域名地址,我尝试在kali中绑定hosts
10.10.10.113 redcross.htb
10.10.10.113 intra.redcross.htb
是个登录界面,点击contact form
没发现啥东西,既然刚开始看到需要使用域名,而且有子域名,那么我们爆破下子域名
wfuzz --hw=28 -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -H "HOST:FUZZ.redcross.htb" https://redcross.htb
绑定子域名admin的hosts信息然后访问
同样是个登录界面,先放着,信息都收集好了就开始一个一个进行突破了,先爆破下域名intra.redcross.htb的登录密码
wfuzz -c --hh 11 -u "https://intra.redcross.htb/pages/actions.php" -X POST -d "user=FUZZ&pass=FUZZ&action=login" -w /usr/share/seclists/Usernames/top-usernames-shortlist.txt
发现了一个存在来宾账号guest的用户,我们登录一下
这里之后尝试爆破admin的子域名登录窗口但是失败了,之后使用用户guest登录成功的session信息复制到admin的子域名cookie session中刷新一下,进入了管理员后台
进入之后发现有两个功能选项,一个添加用户功能,一个网络防火墙功能,我先添加一个用户bmfx
然后使用上面的用户通过ssh进行登陆发现权限极低,放着吧,再看看那个网络防火墙的功能,先添加一个本地回环口IP地址然后使用burpsuite进行抓包,添加成功之后显示了一个deny按钮,我也点击删除了一下,具体数据包如下
将两个请求数据包测试了下,最后发现删除防火墙测量的请求数据包存在命令执行漏洞,具体如下
然后使用which查看了目标可能存在的环境,确认存python环境,直接使用python反弹代码进行反弹shell
成功反弹shell
然后就是翻看目标靶机的各种文件了,这里翻看了家目录看到user.txt但是没有权限读取,然后翻看了当前web应用的根目录各个文件,发现了登录数据库的各种账号和密码
使用数据库管理员登录数据库
通过上面显示的用户信息发现就是刚刚上面新创建的用户,看到gid,uid,就想到Linux系统最终还是会看uid和gid信息,所以修改此信息会直接修改权限,根据经验可以尝试修改gid为0试试看,但是经过测试发现gid虽然具有root权限,但是靶机做了限制,限制只允许sudo组的用户才能读取root.txt所以可以试着更改数据库将gid直接更改为27,这里的27可以根据目标系统是Debian系统,然后本地装个这类的系统看下/etc/group里面的sudo对应的gid就可以了,一般都是一样的,下面看操作
这里注意,操作完成要退出数据库然后就会生效,我刚开始操作完成没有退出数据库操作没生效导致结果花了些时间,完成之后再次ssh登录目标
提权为root
PS:再提下,这里也可以将gid更改为6,因为6是disk权限,可以通过debugfs进行读取root.txt
参考:https://serverfault.com/questions/538383/understand-pam-and-nss/538503#538503