一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 176 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/222
靶机难度:初级(4.2/10)
靶机发布日期:2020年4月16日
靶机描述:
OpenAdmin is an easy difficulty Linux machine that features an outdated OpenNetAdmin CMS instance. The CMS is exploited to gain a foothold, and subsequent enumeration reveals database credentials. These credentials are reused to move laterally to a low privileged user. This user is found to have access to a restricted internal application. Examination of this application reveals credentials that are used to move laterally to a second user. A sudo misconfiguration is then exploited to gain a root shell.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.171...
我这里利用Masscan快速的扫描出了22,80端口,在利用nmap详细的扫描了这些端口情况...
apache界面,添加下域名,然后爆破一波...
存在ona...
该页面是OpenNetAdmin框架...v18.1.1版本...
可看到存在漏洞....本地也可以查,这里有很多方法提权了...MSF或者写EXP,直接利用EXP都可以....
成功获得了WWW低权外壳...
枚举存在的用户信息...
在/opt/ona/www/local/config/database_settings.inc.php发现了db_passwd密码信息...
二、提权
方法1:
利用获得了db_passwd密码信息,成功登录jimmy用户界面...无法查看user_flag,需要进一步获得joanna用户...
这里可以看到main.php可以直接获得joanna用户的id_rsa密匙...
在index.php查看到了MD5值...
爆破成功...
直接本地查看了端口信息,访问52846/main.php获得了id_rsa密匙信息...
这里利用index获得的密码配合id_rsa无法登录...继续利用ssh2john和john爆破获得了密码...
通过爆破的密码,成功ssh登录joanna用户界面并获得user_flag信息...
方法2:
可以通过将PHP shell编写到/var/www/internal文件夹中...然后植入简单shell获得反向外壳即可...
sudo -l 发现nano执行priv可提权...
https://gtfobins.github.io/gtfobins/nano/ ---参考
sudo nano /opt/priv
执行nano后,control+r在加control+x进入execute执行命令即可...随意输入shell命令都可提权...
成功获得了root权限并获得了root_flag信息...
简单的靶机,简单的漏洞...修复即可...方法原理一样但是OpenNetAdmin框架我也是第一次遇到并提权...
HTB每台靶机都不一样,但是掌握了渗透方法原理,都是问题不大...加油
由于我们已经成功得到root权限查看user和root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~随缘收徒中~~随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
原文始发于微信公众号(大余安全):HackTheBox-Linux-OpenAdmin
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论