Bank-10.10.10.29
Author:Beauty
致力于开新坑
涉及知识
DNS域传送
Linux文件权限与属性之 SUID
1.信息收集
nmap常规跑
nmap -sC -sV 10.10.10.29
22端口:openSSH Ubuntu
53端口:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。
端口漏洞:如果开放DNS服务,可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。
80端口:Apache/2.4.7
访问80端口------Apache默认页面
dirbuster 跑目录,没发现什么。
2.开始
考虑从53 端口入手。dns作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
使用dig或者nslookup命令。 使用nslookup命令
nslookup
SERVER 10.10.10.29
bank.htb
其中 bank.htb 为常识,师父:一般靶机叫什么名,网站就叫什么名。佩服.jpg
检测到bank.htb 确实存在。
使用dig命令 刚开始使用dig命令时,不知道bank.htb,所以未成功
纠正后
dig axfr bank.htb @10.10.10.29
可以清楚的看到整个域下的域名解析信息,从而将整个域暴漏无遗
修改resolv.conf 该文件是DNS客户机配置文件,用于设置DNS服务器的IP地址及DNS域名
nameserver表示解析域名时使用该地址指定的主机为域名服务器。
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器
修改后可通过ping域名来检测是否修改成功
修改成功。
浏览器访问
发现登录页面,尝试弱口令失败。
由于修改了DNS配置文件,所访问的域也就不同。
再次进行目录扫描
dirsearch工具
字典不够强大~
发现最近扫目录,别的老板都可以扫出自己想要的东西,而我不能。o(╥﹏╥)o
突然发现自己的kali有点迷,在resolv.conf里添加nameserver的时候,必须要将10.10.10.29添加在最上面一行,他才会解析。
balance-transfer目录发现许多acc文件。找到最突出的那个。257(师出反常必有妖)
发现账户以及密码
--ERR ENCRYPT FAILED
+=================+
| HTB Bank Report |
+=================+
===UserAccount===
Full Name: Christos Christopoulos
Email: [email][email protected][/email]
Password: !##HTBB4nkP4ssw0rd!##
CreditCards: 5
Transactions: 39
Balance: 8842803 .
===UserAccount===
用这个账户登录进去发现有上传文件的地方
support.php
习惯性地查看前端代码,发现一句注释,大概意思就是,会把后缀为.htb的文件当php解析。有点傻
上传冰蝎php脚本,burp抓包,修改后缀,repeater发现上传成功。
点击上传的文件,用冰蝎连接对应路径,出现phpinfo,成功。
whoami后,不出意外的果然是普通权限
开始漫漫提权路。
3.提权
冰蝎“给我连”结合 msf paload 进行监听
到home 目录下,htb的user flag 一般都在home目录下。
user.txt user flag具体是啥就不透露了
接下来要找到root.flag,尝试进一下root目录,被拒绝。
准备先在本机搭建一个小型服务器,以传输提权脚本
shell进入目标机,获取本机的提权建议脚本
其中要注意获取文件的路径
这里我是直接在提权脚本所在文件处搭建的小型服务器
所以wget的时候就难得再加路径了,简单点
提权脚本给出了很多提权建议,其中还包括脏牛提权脚本,图中没列出来
先试一试“eBPF_verifier“
下载它
我是在本机下载的,所以再把目标机上使用相同的方式获取该脚本-----45010.c
.c文件可以使用gcc命令进行编译。但是在这台目标机上,该提权脚本失败了。还是换回脏牛。
upset,o(╥﹏╥)o 这台机器所给的权限都很低。找不到能执行文件的有效目录。很难受
转战LinEnum,使用LinEnum.sh
同样的方法传到目标机上,运行后,会发现该脚本给出了目标机很多信息
LinEnum列出了一串SUID files
SetUID(或者 s 权限):当一个具有执行权限的文件设置SetUID权限后,用户执行这个文件时将以文件所有者的身份执行。
在此“文件所有者”的第三位是s权限
进入到 /var/htb/bin 里面
执行emergency文件时,其他用户可以获取所有者身份,只是有时间限制。
然后cd /root
找到root.txt get flag!
4.总结
Linux 文件权限
借鉴 https://www.cnblogs.com/Jimmy1988/p/7260215.html 的博客。学习学习
交互式shell
在目标主机里,很多键和命令都不好使用 用以下命令。使目标主机有交互式shell
$ which python
/usr/bin/python
$ python -c 'import pty;pty.spawn("/bin/bash")'
$ ctrl + z
$ stty raw -echo && fg
$ export TERM=screen
本文始发于微信公众号(T00ls):投稿文章:记一次打HTB靶机过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论