本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 115 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/85
靶机难度:中级(4.5/10)
靶机发布日期:2017 年 10 月 18 日
靶机描述:
SolidState is a medium difficulty machine that requires chaining of multiple attack vectors in order to get a privileged shell. As a note, in some cases the exploit may fail to trigger more than once and a machine reset is required.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.51....
Nmap 扫描发现开放了 OpenSSH,Apache,一个 SMTP 服务器以及 Apache James POP 和管理服务器...
访问 apache 未发现有用信息...
直接对邮件服务器 james 查找漏洞,发现存在 EXP 利用...
检查 EXP 默认密码是 root... 试试
成功登录... 帮助查看可以修改用户密码... 修改
修改后登录 POP3,查看到了两封邮件,一封是很高兴进来胜任工程师....
另外一封给了 ssh 的用户名密码...
通过 ssh 成功登录,获得了 user_flag 信息...
但是这里 - rbash,会限制非常多命令... 需要绕过 rbash,不然没法枚举...
https://speakerdeck.com/knaps/escape-from-shellcatraz-breaking-out-of-restricted-unix-shells?slide=9
google 找到了绕过的方法...
成功登录... 查看正常...
上传 LinEnum 枚举...
枚举发现 tmp.py 文件存在 root 权限执行 / bin/bash... 去看看
发现还是有限制...SSH 登录有限制,打算利用 EXP 获得 shell 外壳....
写入 35513.py 的 EXP,简单一句话 shell...
运行 EXP,成功植入 shellcode...
然后本地开启监听,访问 SSH 即可获得反向外壳....
通过 EXP 的提供的 shell 外壳,成功查看到了内容....
这里修改的时候,还是存在通道字符异常现象,需要在优化 TTY,stty raw -echo 即可...
修改 nc 提权...
等待 2 分钟后,成功获得 root 权限... 获得 root_flag 信息....
james 漏洞 + POP3 信息收集 + SSH 登录绕过 rbash + 补全 TTY + 内核提权....
可能在绕过方面耽误点时间... 应该算简单靶机...
这里写得很简单,我不会和前 NO.100 写得很详细,很多内容都一笔带过,希望看我笔记文章的能从前面开始...
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号