HTB靶场记录(六 Cronos)

皮卡皮卡丘

0x00:靶机介绍
这次的靶机是Cronos，Linux靶机难度为中等。由于做Jeeves Windows靶机被折磨疯了，只好找点Linux靶机软柿子捏一下。




0x01:信息收集
还是使用万能的autorecon跑一下跑完以后开了22，53，80端口。


我一看到80端口啪的一下，很快啊直接冲过去发现经典Apache2页面，直接dirb，dirbuster各种目录扫描。结果大E了，居然没有东西。



只好把目光转回53 DNS端口，我思考着莫非在/etc/hosts加个域名进去?结果还是大E了好多坑。。。。。。


既然这都不对，那我只能用dig挖一下，行吧还挖到一个admin.cronos.htb的。


顺便加回去/etc/hosts把


这次终于可以正常访问了，一个是正常页面，另外一个admin是登录框


0x02:绕过登录框
看到admin.cronos.htb这个登录框肌肉记忆SQL注入启动，然而结果是个false value卒



这里忘记截另外一个图了，在sqlmap的某条payload时候居然会提示302状态码 跳到/welcome.php界面。我测试了这个登录框，它只会判断存不存在不会做出限制，也就是说可能存在绕过，试了波基本的SQL绕过然后点击


很快啊，直接把我送到welcome页面还有这个ping的功能这部就是暗示我命令注入漏洞?



0x03:命令注入漏洞
这里观察了一下除了traceroute以外还有个Ping功能，这里简单尝试用；挡住然后加敏感词进去直接返回我想要的内容


换成pwd也可以成功执行。这波那么暗示我们是时候插入一句话了。



然而我的nc最简单的一句话不成功只能换条长的进去。。。。。



提前开启nc得到反弹shell，顺便读到flag。



0x04:提权
这次我一个uname -a 结果还是发现这是个4-4.0-72的内核



查了下我的大神器44298直接是从0-到116都可以通吃



还是像之前一样，传一个44298直接提权成功。然而我问了下大佬提权部分结果好像不是这样做的。。。。下次我尽量不用44298通杀。