HTB靶场Broker详解，超细节处理，超推荐

1.信息收集加确定目标。2.发现漏洞。3.漏洞利用getshell。4.提权 5.总结 下面按照此五步走。

htb靶场目标给定:10.10.11.243,首先上来对其端口扫描，看一下开放了那些端口，针对不同端口进行不同的思路进行渗透，用到的命令

nmap -sS -sV -F 10.10.11.243 (-F快速扫描)

发现开放了22和80端口，看到22端口想到未授权以及爆破，可以尝试一下，发现不能突破，访问到80端口看看

发现出现一个登入框，看到这样的登入框，想到sql注入，爆破，弱口令等，这里直接试试admin/admin看看 发现成功登入

在里面看见这是一个ActiveMQ搭建，这里介绍一下ActiveMQ是什么:一款开源的，完全支持J2EE规范的消息中间件 默认端口:61616 我们可以访问一下默认端口试试 可以看见成功访问到，但是前面都没有扫出这个端口，我们可以换一种方式进行扫描

使用:sudo nmap --min-rate 10000 -p-  ip

这个的意思就行进行扫描10000内的端口

看到使用的中间件是activemq,那么我们接下来的思路是怎样的?可以在里面尝试找一下具体的版本号，就可以到google上面搜索具体的exp，在刚才页面中进行信息点击枚举 可以发现版本号为5.15.15

接下来直接到google查询 activemq 5.15.15 exp

找到一个cve-2023-46604

上一步的漏洞发现找到cve-2023-46604，可以直接到github搜索此编号查询exp进行攻击

找到一个pyexp进行利用一下，点开看看里面使用方法

可以看到该漏洞的利用为反序列化利用，具体的利用方式为在本地开启一个http服务，然后再poc里面写入反弹shell语句，然后使用给出的exp进行攻击，对方的服务器会来请求到本地的http服务，并且下载到poc文件，然后运行，那么就会反弹一个shell回来，接下来完整的演示一遍该漏洞的利用

首先开启一个http服务

可以看见我的poc.xml里面的反弹端口为9001

开启监听到9001

接下来直接使用exp进行运行

其中第一个ip为目标ip，端口为activemq运行的端口，然后为请求http的ip以及开启的8000端口，然后运行，对方会请求到我开启的http服务的poc进行运行，然后成功会反弹到一个shell

发现成功拿到shell 查看第一个flag

上面成功拿到一个shell，下面开始提权，提权的方式很多种，常见的比如直接使用内核版本找到exp，sudo提权，suid提权等，这里使用suid提权，简单介绍一下suid提权:SUID 特殊权限仅适用于可执行文件，所具有的功能是，只要用户对设有 SUID 的文件有执行权限，那么当用户执行此文件时，会以文件所有者的身份去执行此文件，一旦文件执行结束，身份的切换也随之消失。

输入sudo -l进行查看该用户可执行那些命令

看到该用户可不需要密码执行nginx，现在的思路就是想到使用nginx进行提权，首先总体说一下使用nginx提权的想法:伪造一个conf文件，将用户改为root,然后伪造一个监听端口，然后加载自己伪造的conf文件，然后在去请求root目录下的文件查找到flag。

介绍一下什么是nginx:款轻量级的Web服务器、反向代理服务器，由于它的内存占用少，启动极快，高并发能力强，在互联网项目中广泛应用。

Nginx的主配置文件是nginx.conf，这个配置文件一共由三部分组成，分别为全局块、events块和http块。

首先伪造自己的conf文件

然后把伪造的文件下载到对方的服务器里面去

然后使用命令进行采用我们伪造的conf文件

然后直接发起请求拿下flag

该靶场拿到shell主要用到反序列化远程加载poc的方式拿到shell，提权用到nginx反向代理拿到flag，核心板块在conf文件，使用自己伪造的文件，把用户改为root，以root权限运行nginx，然后从root目录下面进行查找文件，最终得到flag，本靶场较为简单。