用户
搜索
  • TA的每日心情
    慵懒
    前天 09:49
  • 签到天数: 96 天

    连续签到: 2 天

    [LV.6]常住居民II

    i春秋-核心白帽

    Rank: 4

    51

    主题

    67

    帖子

    2196

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2020-12-26 10:52:19 35865
    本帖最后由 皮卡皮卡丘 于 2020-12-26 02:52 编辑

    这次想开的新系列是HTB的靶场,然后是根据vulnhub的一个靶机推荐,里面也有包含一下hackthebox的靶机,所以想尝试一波
    微信截图_20201226090705.png

    0x00:靶机介绍
    这次的靶机是openadmin,难点在于信息收集。
    0.png


    0x01:探测靶机
    首先使用nmap进行波端口探测,这次只开了22和80端口
    命令:nmap -A -sS -sV -v -p- 10.10.10.171

    1.png

    输入IP进浏览器是一个典型的Apache界面。。。
    2.png

    0x02:目录挖掘收集信息
    这里由于是一个典型的Apache页面,没有过多的信息只能先启用波dirbuster,这里我提前弄好了,有2个目录和一个ona
    3.png

    分别跟进一下music是一个听歌网站无任何信息可利用
    4.png

    artwork同理
    5.png

    当跟进到ona的时候哦吼,这好像我在five86-1里面见过
    6.png

    0x03:获取shell
    提取页面的关键字直接在kali使用 searchsploit OpenNetAdmin 以及根据版本号18.1.1可以发现一个现成的MSFpayload 和一个.sh脚本这里用脚本因为MSF不知道为啥死活运行不了

    7.png

    有点奇怪的是kali自带的.sh脚本直接运行不了,需要把原脚本复制到一个新脚本里面就可以了
    8.png

    使用方法比较简单输入对应的IP和登录界面就能获取shell了
    命令: ./6.sh http://10.10.10.171/ona/login.php
    9.png

    0x04:更换shell
    虽然现在拥有shell了,但目前是最底层的shell,需要换一个稍微高级点的。突围方法就是wget,就跟AI WEB靶机一样,我们目前拥有的权限是可以给网站添加一个PHP的文件。可以利用wget把反弹shell传上去然后前端访问更换波shell

    10.png

    这里我把反弹shell更名为1.php然后利用python共享模式传上去
    11.png

    前端访问波1.php记得提前开启nc成功更换shell,当然还是www-data权限。。。。
    12.png

    0x05:信息挖掘
    由于目前咋还是www-data我们的目标是变成/home目录下的jimmy或者是joana,这里苟到/opt/ona/www/local/config/下发现有个数据库设置文件用cat以后发现波密码
    13.png

    尝试了一波最后这个密码是jimmy的
    14.png

    然而/home/jimmy下没得东西,user的flag可能藏在joana目录下,裂开。。。。。只能继续挖掘

    这里苟到/var/www目录下发现一个Internal独属jimmy的果断跟进
    15.png

    跟进以后主要有3个文件,当然还是看mian.php,其它两个只是基础设置。main.php里面有一个shell_exec里面暗藏这joana的SSH密钥同时Ninja可能是密钥密码
    16.png

    emmm然而虽然知道有密钥藏在那里新的问题是我们得找到能运行的方法才能把密钥偷出来这里只能再次挖掘,在/etc/apache2/site-available找到一个internal.conf打开一波有提示监听本地52846端口。同时还说了借助joanna用户一波
    17.png

    那我们可以尝试一波用curl执行一波一开始头铁直接curl 127.0.0.1:52846结果根本没有返回东西。结果想到main.php的output语句是不是对着main.php输出就会爆出SSH密钥呢蒙对了。
    18.png

    然而新的难题又出现了。把密钥复制下来给予权限600以后发现密钥密码又不对
    19.png

    0x06:利用John破解SSH密钥密码
    这里在网上查了下万能的John也是可以顺便破解SSH密码的
    20.png

    这里我跟着步骤
    22.png

    顺便开个Hydra直接爆破joanna的密码算了。。看看哪个更慢
    21.png

    最后爆出密码为bloodninjas登录拿到flag。。。。
    23.png

    0x07:简单的提权
    先使用sudo -l,发现有nano 和priv一开始我以为是分开的然而是连在一起使用的

    24.png

    直接sudo /usr/bin/nano /opt/priv会进入波nano编辑器模式同时ctrl+R是读取文件。直接对着/root/root.txt就能读取flag了


    25.png
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    关于HTB靶场的基础配置的话可以关注我们的公众号神隐攻防实验室回复HTB就可以查看基础的设置了。希望大佬勿喷
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    使用道具 举报 回复
    这是系列文章吗?
    使用道具 举报 回复

    是的,最近新开的系列
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册