本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大家好,这里是 大余安全 的第 123 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/126
靶机难度:中级(4.8/10)
靶机发布日期:2018 年 7 月 21 日
靶机描述:
Aragog is not overly challenging, however it touches on several common real-world vulnerabilities, techniques and misconfigurations.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.78....
Nmap 发现了 vsftpd(已启用匿名登录),并开启了 OpenSSH 和 Apache 服务器....
直接匿名登录 ftp... 并发现了 test.txt 文件,下载...
在内部,我们看到了一些 XML,估计要利用注入 sql 或者 XXS 等攻击行为...
直接目录爆破仅发现了 hosts.php 页面....
看到不完整的数字信息....
通过前面 XML 信息,可以将 XML 数据发布到页面并获得一些输出
是否可以利用 XML 外部实体(XXE)攻击起作用?并注入一些 XML 以在系统上读取文件?试试
首先,将 XML 文件修改为以下内容,以测试是否可以读取 / etc/passwd...
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection
这里通过 github 找到了 XXE 攻击的利用方式....
果然,利用 xml 输入可以进行入站 XXE 攻击来读取文件信息...
通过枚举,直接读取靶机的 id_rsa 信息,获得了密匙...(因为靶机 ssh 开启了服务肯定是 rsa 登录)
二、提权
直接利用 rsa 成功登录,获得了 user_flag 信息....
在 www/html 页面发现隐藏页面信息.... 很多内容....
直接访问发现存在问题,页面无法读取... 应该是域名问题...
直接将 aragog aragog.htb 添加到 hosts 即可...
cliff 告诉我们两件事,他经常登录该页面,并且该站点也正在恢复.... 仔细检查
我通过访问 admin.php 直接进入了登录页面,但是页面 url 跳转到了 wp-login.php 文件下...
利用 pspy32 监听了靶机内所有进程情况,等待了 5~7 分钟,发现了一个规律,wp-login.php 为 UID = 1001 在调用,然后每一分钟准时调用一次....
https://stackoverflow.com/questions/3718307/php-script-to-log-the-raw-data-of-post
如何利用 wp-login.php 获取 admin-php 页面的登录密码?在 google 看到了这篇调用文章....
直接删除掉该文件,重新创建个,将文章方法添加入测试....
等待一分钟后,成功获得了 administrator 密码....
由于前面知道这是 UI=1001 在调用的,以为该密码是 cliff 用户的登录密码... 但是无权登录...
尝试 su_root 直接成功登录获得了 root 权限用户外壳....
成功获得了 root_flag 信息....
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号