UnderPass
https://app.hackthebox.com/machines/UnderPass
受害者ip:10.10.11.48
攻击者ip:10.10.16.12
参考:https://www.hyhforever.top/htb-underpass/
https://medium.com/@0xindranil/htb-underpass-da984bfe2e85
https://blog.csdn.net/qq_52772100/article/details/145062562
端口扫描
80端口是apache的默认页面,并且目录也是空的
使用udp协议扫描
发现开放161snmp服务
nmap -sU --min-rate 1000010.10.11.48 -oA udp
SNMP(Simple Network Management Protocol)是一种用于管理网络设备的协议。它允许网络管理员监控网络设备的性能和状态,以及进行故障排除和配置更改。SNMP通过在网络设备上运行的代理程序收集有关设备的信息,并将这些信息发送给网络管理系统。网络管理系统可以使用这些信息来了解网络设备的状态,以便及时发现和解决问题。SNMP还可以用于配置网络设备,例如更改设备的IP地址或路由表。
SNMP协议采用轮询机制,提供最基本的功能集,适合小型、快速、低价格的环境使用,而且snmp协议以用户数据报协议(UDP)报文为承载,因而受到绝大多数设备的支持,同时保证管理信息再任意两点传送,便于管理员在网络上的任何节点检索信息,进行故障排查
snmpwalk 是一种常用的网络管理工具,用于通过 SNMP(Simple Network Management Protocol,简单网络管理协议) 从目标设备获取信息。它会递归地遍历目标设备的 MIB(Management Information Base,管理信息库),提取各种数据,比如系统信息、网络接口状态、路由表、设备运行时间等。
snmpwalk -c public -v2c 10.10.11.48 -c public: 指定社区字符串为 public,这是默认的只读访问字符串。 -v2c: 使用 SNMP v2c 协议(比 v1 和 v3 更常用,支持更大数据集传输)。 SNMPv2-MIB::sysDescr.0: 操作系统描述。 SNMPv2-MIB::sysUpTime.0: 设备运行时间(从最后一次启动开始)。 SNMPv2-MIB::sysContact.0: 设备管理员的联系信息。 SNMPv2-MIB::sysName.0: 设备名称。 SNMPv2-MIB::sysLocation.0: 设备位置。
steve可能是某个用户名,将underpass.htb加入到host
其中提示有daloradius服务
iso.3.6.1.2.1.1.4.0 = STRING: "[email protected]"iso.3.6.1.2.1.1.5.0 = STRING: "UnDerPass.htb is the only daloradius server in the basin!"
echo "10.10.11.48 underpass.htb" >> /etc/hosts
目录扫描
dirsearch -u underpass.htb/daloradius -t 100
发现文件/daloradius/docker-compose.yml,docke配置文件里面有mysql的账号密码radius/radiusrootdbpw
搜索到默认账号密码
administrator/radius
在这里也能找到默认账号密码
http://10.10.11.48/daloradius/doc/install/INSTALL
扫描app目录
dirsearch -u underpass.htb/daloradius/app -t 100
或者使用-r参数递归扫描
dirsearch -u underpass.htb/daloradius/ -t 100 -r
然后就能找到登录口
users的登录口进不去,可能是兔子洞。换一个大点的字典再扫一下,找到operator
dirsearch -u "http://underpass.htb/daloradius/app/" -t 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
http://underpass.htb/daloradius/app/operators/login.php
使用默认账号密码成功登录
Username: administratorPassword: radius
似乎这个版本并没找到有效的poc
回到首页发现用户名svcMosh和他的md5密码
解密后svcMosh/underwaterfriends
john爆破
john --wordlist=/usr/share/wordlists/rockyou.txt md5.txt --format=Raw-MD5
hashcat爆破
hashcat '412DD4759978ACFCC81DEAB01B382403' -m 0 -a 0 /usr/share/wordlists/rockyou.txt
直接ssh连接,然后sudo -l起手
Mosh表示移动Shell(Mobile Shell),是一个用于从客户端跨互联网连接远程服务器的命令行工具。它能用于SSH连接,但是比Secure Shell功能更多。它是一个类似于SSH而带有更多功能的应用。程序最初由Keith Winstein 编写,用于类Unix的操作系统中,发布于GNU GPL V3协议下
--client=PATH:指定本地机器上的 Mosh 客户端路径。 --server=COMMAND:指定远程机器上运行的 Mosh 服务器命令。 --predict=adaptive|always|never|experimental:控制本地回显的行为,适用于不同的网络延迟条件。 -4, -6, --family=inet|inet6|auto|all|prefer-inet|prefer-inet6:指定网络协议(IPv4 或 IPv6)。 -p PORT[:PORT2]:指定服务器端使用的 UDP 端口或端口范围。 --ssh=COMMAND:用于建立会话的 SSH 命令。 --no-ssh-pty:在 SSH 连接中不分配伪终端。 --local:在本地运行 mosh-server,不使用 SSH。 --help:显示帮助信息。 --version:显示版本和版权信息
使用--server参数连自己达到提权效果
mosh --server="sudo /usr/bin/mosh-server" localhost
原文始发于微信公众号(王之暴龙战神):UnderPass
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论