用户
搜索
  • TA的每日心情
    奋斗
    2021-2-25 10:34
  • 签到天数: 123 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    57

    主题

    76

    帖子

    2696

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2021-2-3 21:32:31 06326
    0x00:靶机介绍
    这次的靶机是Cronos,Linux靶机难度为中等。由于做Jeeves Windows靶机被折磨疯了,只好找点Linux靶机软柿子捏一下。

    0.png


    0x01:信息收集
    还是使用万能的autorecon跑一下跑完以后开了22,53,80端口。
    1.png

    我一看到80端口啪的一下,很快啊直接冲过去发现经典Apache2页面,直接dirb,dirbuster各种目录扫描。结果大E了,居然没有东西。

    2.png

    只好把目光转回53 DNS端口,我思考着莫非在/etc/hosts加个域名进去?结果还是大E了好多坑。。。。。。
    3.png

    既然这都不对,那我只能用dig挖一下,行吧还挖到一个admin.cronos.htb的。
    4.png

    顺便加回去/etc/hosts把
    5.png

    这次终于可以正常访问了,一个是正常页面,另外一个admin是登录框
    6.png 7.png

    0x02:绕过登录框
    看到admin.cronos.htb这个登录框肌肉记忆SQL注入启动,然而结果是个false value卒

    8.png

    这里忘记截另外一个图了,在sqlmap的某条payload时候居然会提示302状态码 跳到/welcome.php界面。我测试了这个登录框,它只会判断存不存在不会做出限制,也就是说可能存在绕过,试了波基本的SQL绕过然后点击
    9.png

    很快啊,直接把我送到welcome页面还有这个ping的功能这部就是暗示我命令注入漏洞?

    10.png

    0x03:命令注入漏洞
    这里观察了一下除了traceroute以外还有个Ping功能,这里简单尝试用;挡住然后加敏感词进去直接返回我想要的内容
    11.png

    换成pwd也可以成功执行。这波那么暗示我们是时候插入一句话了。

    12.png

    然而我的nc最简单的一句话不成功只能换条长的进去。。。。。

    13.png

    提前开启nc得到反弹shell,顺便读到flag。

    14.png

    0x04:提权
    这次我一个uname -a 结果还是发现这是个4-4.0-72的内核

    15.png

    查了下我的大神器44298直接是从0-到116都可以通吃

    16.png

    还是像之前一样,传一个44298直接提权成功。然而我问了下大佬提权部分结果好像不是这样做的。。。。下次我尽量不用44298通杀。

    17.png


    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册