**
HackTheBox-Linux-FriendZone-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/173
靶机难度:初级(4.7/10)
靶机发布日期:2019年5月13日
靶机描述:
FriendZone is an easy difficulty Linux box which needs fair amount enumeration. By doing a zone transfer vhosts are discovered. There are open shares on samba which provides credentials for an admin panel. From there, an LFI is found which is leveraged to get RCE. A cron is found running which uses a writable module, making it vulnerable to hijacking.
作者:大余
时间:2020-06-30
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.123…
可看到开放了一些端口,ftp不允许匿名登陆,443端口和445端口也开放着,要利用smb了…
访问页面发现了域名信息…
枚举域名信息,获得了另外三个DNS域名…都添加到hosts中即可…
enum4linux枚举发现了smb中存在得用户和目录情况…
只有general和devolopment可正常进入…
首先查看了general发现了creds.txt文件…获得了用户名密码…
查看developmengt是空目录…
访问枚举到的域名,这是表单登陆页面,利用前面smb获得的密码登陆即可…
登录后,要求去dashboard.php页面…
仪表板页面似乎是处理图像的某些应用程序,但是除了将图像名称作为参数和页面名称之外,还提示了image_id=a.jpg&pagename=…
很熟悉,应该是url的后缀,可能存在LFI利用…
我尝试在后面image_id=a.jpg&pagename=添加访问,页面报错了…脚本还在测试中,可存在php文件等信息…
配合nmap扫描,这里怀疑image_id=a.jpg&pagename=和smb的development有关联…
命令:https://administrator1.friendzone.red/dashboard.php?image_id=a.jpg&pagename=../../../../../../../../etc/Development/php-reverse-shell
经过测试,存在PHP路径截断利用…
通过上传简单shell到smb_development中,然后在页面通过LFI利用…
获得了反向外壳…
获得了www低权外壳,读取到了user_flag信息…
上传pspy32挂着枚举时,发现reporter.py文件每两分钟执行一次…
检查该脚本,python2运行的脚本,脚本中提示在导入os库…import os
LinEnum枚举也发现了该库的权限,以root执行着…
www权限的外壳还是不能修改该内容…
继续枚举,发现了friend用户的密码信息…
通过su提升到friend用户后,简单的写入和赋予权限,获得了root权限,并获得了root_flag信息…
简单的一台靶机,smb和web_LFI漏洞利用,脚本固定执行进程提权等等…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。