Hackthebox演练—点心

正在参加PWK课程并准备为OSCP考试做准备。 除了pwk实验室以外,我还从许多Hackthebox机器中获得了很多启发。 因此,我决定开始编写一些hackthebox淘汰的机器演练(灵感来自hackingarticle,infosec,ippsec的youtube视频等,感谢所有这些渗透测试的惊人材料!)

目标:10.10.10.70

本地IP:10.10.14.13

Nmap枚举:

运行nmap以查看打开了哪些端口以及它们背后正在运行的服务

/.git/存储库已找到! 我们稍后会检查

Web服务器的端口80已打开。 让我们做更多的TCP端口枚举

对所有TCP端口运行Zenmap进行密集扫描,我们发现65535也打开运行openssh服务

模糊网页目录

运行dirsearch,我们发现模糊Web目录似乎有点挑战,因为所有请求都返回200

让我们尝试wfuzz摆脱误报

我们发现那些访问目录是打开的

浏览/.git目录并查看配置文件

我们找到了一个网址“ http://git.canape.htb/simpsons.git”

好像是域名git.canape.htb

让我们将域名添加到/ etc / hosts

运行git clone下载网址

查看我们刚刚下载的辛普森文件。

运行git log查看评论

里面可能有一个漏洞

运行命令git diff并查看已更改的内容

我们知道牙c有漏洞

进一步深入

我们可以编写一个漏洞来滥用存储提交报价的功能\

检查python脚本_init_.py,我们发现该程序容易受到带有易受攻击的函数“ cPickle.loads(data)”的不安全反序列化的攻击

Google的pickle利用,让我们创建一个python脚本来利用

在端口1234上设置我们的netcat侦听器,我们得到了反向Shell

现在就进行特权升级

grep本垒打用户下的进程。 我们可以看到我们闯入的日志

我们也可以看到progname couchdb homer运行

我们在运行netstat -antp时得到确认

端口5984适用于Apache Sofadb

我们找到了apache couchdb数据库版本

让我们创建一个有权读取数据库的用户

curl -X PUT’http:// localhost:5984 / _users / org.couchdb.user:chenny’-数据二进制文件'{“ type”:“ user”,“ name”:“ chenny”,“ roles”:[ “ _admin”],“角色”:[],“密码”:“密码”}’

转储数据库

curl http://127.0.0.1:5984/passwords/_all_docs?include_docs=true -u chenny:-Xpassword
<ds / _all_docs?include_docs = true -u chenny:-Xpassword

我们找到了ssh凭证

通过端口65535上的ssh以homer身份登录

抓住我们的user.txt标志!

运行sudo -l,我们看到homer可以使用sudo特权运行/ usr / bin / pip install

然后让我们在python中创建一个反向shell并将其上传到目标

运行sudo pip install,我们发现是否要执行反向外壳,我们必须将其命名为setup.py

然后,将setup.py移至另一个可写目录

修改我们的python反向外壳

我们获得了root特权反向shell

抓住我们的root.txt标志!