**
HackTheBox-Linux-Europa-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/27
靶机难度:中级(4.5/10)
靶机发布日期:2017年10月5日
靶机描述:
Europa can present a bit of a challenge, or can be quite easy, depending on if you know what to look for. While it does not require many steps to complete, it provides a great learning experience in several fairly uncommon enumeration techniques and attack vectors.
作者:大余
时间:2020-05-20
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.22…
Nmap发现OpenSSH和Apache服务开放着…该服务器支持HTTPS/SSL…
还发现存在DNS…将它们先添加到hosts…
http和https访问都会显示默认的Ubuntu Apache安装页面…
通过前面nmap发现的域名,直接访问…进入到email的登陆页面…
通过收集信息,查看了凭证,获得了email账号信息…
通过默认密码,无法登陆…
这里利用了burpsuit进行注入分析,对于账号和密码进行了简单的注入…发现账号可利用注入…
通过简单的OR 1 成功登录…
拦截注入进入了主页面…
在查看模块TOOLs后,这是一个Openvpn的链接配置…这里是非常熟悉的,连接靶机都需要这个…
/ip_address/和ipaddress引起我的注意,这里看起来存在正则表达式的注入方式…
利用burpsuit进入页面后,似乎将所有出现的ip_address替换为用户指定的字符串,通过使用Burpsuite检查POST数据,似乎可以在客户端设置正则表达式…(shift+ctrl+U)…
通过阅读上面文章,利用文章提示的正则表达式的字符串E,成功注入并获得了查看的权限…
直接利用curl和管道符执行上传的所有php即可获得反向外壳…
成功通过提权获得了user的flag信息…
通过上传LinEnum枚举靶机所有系统信息,发现www目录下存在clearlogs程序是root权限执行在此用户下…
查看该文件配置,该文件会在30~60秒之间执行一次www/cmd/logcleared.sh文件,查看cmd目录下无此文件,只需要在本地写入简单的shell,上传到cmd目录下…
通过创建logcleared.sh写入简单的shell后,可看到经过上传等待了几十秒时间后,程序成功执行了logcleared,并获得了反向shell…
通过root权限成功获得了root的flag信息…
最近linux都是利用burpsuit分析注入,以及提权后利用LinEnum工具枚举,不是程序root,就是缓冲区溢出…已经成为常态…评分给予中级的评价…在我这儿感觉越来越简单了…
加油吧,每次都是累积…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。