HackTheBox-Linux-Hawk

  • A+
所属分类:安全文章

一个每日分享渗透小技巧的公众号HackTheBox-Linux-Hawk



大家好,这里是 大余安全 的第 133 篇文章,本公众号会每日分享攻防渗透技术给大家。


靶机地址:https://www.hackthebox.eu/home/machines/profile/146

靶机难度:中级(4.2/10)

靶机发布日期:2018年11月25日

靶机描述:

Hawk is a medium to hard difficulty machine, which provides excellent practice in pentesting Drupal. The exploitable H2 DBMS installation is also realistic as web-based SQL consoles (RavenDB etc.) are found in many environments. The OpenSSL decryption challenge increases the difficulty of this machine.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

HackTheBox-Linux-Hawk




HackTheBox-Linux-Hawk

一、信息收集

HackTheBox-Linux-Hawk


HackTheBox-Linux-Hawk

可以看到靶机的IP是10.10.10.102..

HackTheBox-Linux-Hawk

Nmap发现FTP可以匿名访问,开放了ssh,80端口的apache服务,8082端口上提供了H2数据库控制台...

HackTheBox-Linux-Hawk

登陆FTP匿名访问,发现了隐藏文件....下载

HackTheBox-Linux-Hawk

这是base64值...

HackTheBox-Linux-Hawk

base64 -d drupal.txt > drupal_decoded.txt.encopenssl aes-256-cbc -d -in drupal_decoded.txt.enc -out drupal1.txt -k friendsopenssl enc -d -aes256 -in drupal_decoded.txt.enc -k friends

这里我利用base64转换后,file发现是openssl...

需要利用bruteforce-salted-openssl工具进行爆破...

记得该工具默认使用AES-256-CBC...成功爆破获得了密码...

HackTheBox-Linux-Hawk

web页面...框架drupal CMS

HackTheBox-Linux-Hawk

利用获得了密码成功登陆...这里需要进入modules板块中开启php filter模块

HackTheBox-Linux-Hawk

开启php filter模块,打勾启用...

HackTheBox-Linux-Hawk

HackTheBox-Linux-Hawk

直接利用简单的shell提权即可...选择刚启用的PHP code

HackTheBox-Linux-Hawk

成功获得了反向外壳...

HackTheBox-Linux-Hawk

枚举了一段时间,在目录底层发现了ssh登陆的密码....这里枚举需要数据库知识,不然也是大海捞针

HackTheBox-Linux-Hawk

利用密码登陆ssh,获得了user_flag信息...

HackTheBox-Linux-Hawk

和nmap枚举信息一致,开放了8082,这是前面nmap就发现的H2...

HackTheBox-Linux-Hawk

测试访问,发现远程连接已禁用了,需要ssh流量做个隧道,在本地链接即可...

HackTheBox-Linux-Hawk

ssh -L 8080:127.0.0.1:8082 daniel@10.10.10.102

成功转发...

HackTheBox-Linux-Hawk

直接在本地访问...成功进入

HackTheBox-Linux-Hawk

将test改为root即可进入root 数据库中...

HackTheBox-Linux-Hawk

直接可以访问控制台了...

HackTheBox-Linux-Hawk

这里搜索下google Abusing H2 Database ALIAS 很多例子都会教如何在H2上获得shell...

HackTheBox-Linux-Hawk

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\A"); return s.hasNext() ? s.next() : "";  }$$;

意思就是创建了一个执行Java代码函数...

HackTheBox-Linux-Hawk

然后通过调用创建的函数来执行系统命令,成功查看了ID...

HackTheBox-Linux-Hawk

那就继续利用调用的函数,直接上传shell,提权即可...

HackTheBox-Linux-Hawk

成功上传...

HackTheBox-Linux-Hawk

赋权

HackTheBox-Linux-Hawk


HackTheBox-Linux-Hawk

成功获得了root权限外壳,并获得了root_flag信息....


由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

HackTheBox-Linux-Hawk


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-Linux-Hawk
HackTheBox-Linux-Hawk


HackTheBox-Linux-Hawk


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-Linux-Hawk

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-Linux-Hawk

本文始发于微信公众号(大余安全):HackTheBox-Linux-Hawk

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: