No.172-HackTheBox-Linux-Scavenger-Walkthrough渗透学习

最新推荐文章于 2024-05-28 21:06:10 发布
最新推荐文章于 2024-05-28 21:06:10 发布
阅读量260 收藏
点赞数
分类专栏: Hack The box 文章标签: python 安全 安全漏洞 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/107549001
版权

**

HackTheBox-Linux-Scavenger-Walkthrough

**
¬
靶机地址:https://www.hackthebox.eu/home/machines/profile/202
靶机难度:中级(3.7/10)
靶机发布日期:2019年12月23日
靶机描述:
Scavenger is a hard difficulty Linux machine running various services such as DNS, SMTP, Whois etc. The whois service is found to be vulnerable to SQL injection, exploitation of which reveals vhosts. The vhosts are enumerated to find a hidden PHP backdoor, which is used to execute code on the server. A forward shell is used to gain access to FTP credentials, resulting in access to a compromised user account. The user’s home profile contains a hidden rootkit, which is decompiled. The information gained from this is used to elevate to a root shell.

作者:大余
时间:2020-07-24

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.155…
在这里插入图片描述
我这里利用Masscan快速的扫描出了21,22,43,53,80端口,在利用nmap详细的扫描了这些端口情况…看图即可
在这里插入图片描述
浏览到端口80,可看到这是个错误的消息…ERROR
80上也没什么可利用的信息…
在这里插入图片描述
枚举43端口…
发现了虚拟主机www.supersechosting.htb,将此虚拟主机添加到/etc/hosts中…
在这里插入图片描述
这次服务器返回一个名为SuperSecHosting的网站,服务器提供网络托管服务以及DNS和whois,将此虚拟主机提供给whois服务看看…
在这里插入图片描述
可看到它返回了一些有关服务器的通用信息,但意义不大,它的服务器可能使用SQL查询以便从MariaDB服务器检索数据,尝试sql注入来检查是否容易受到攻击…
在这里插入图片描述
命令:whois -h 10.10.10.155 -p 43 "') union select group_concat(domain), 2 from customers-- -"
whois看看…利用了常见的SQL注入测试…
服务器返回了三个新的虚拟主机:www.justanotherblog.htb,www.pwnhats.htb,www.rentahacker.htb,将它们添加到hosts文件并继续枚举…

在这里插入图片描述
www.pwnhats.htb网站是在PrestaShop上运行的在线商店,卖帽子的…
在这里插入图片描述
www.rentahacker.htb虚拟主机是提供黑客服务的网站…
在这里插入图片描述
网站只有一个帖子,意思提供出售的黑客服务…
在单个帖子上有3条评论:有人声称自己已经入侵了该网站这一事实确实很有趣…
在这里插入图片描述

另外在每个页面的底部,可看到这是一个wordpress网站…并附属rentahacker.htb…

在这里插入图片描述
利用dig枚举附属的页面看看能枚举到什么DNS域名吗…
获得了虚拟主机名为sec03.rentahacker.htb,继续将此添加到/etc/hosts…继续浏览

在这里插入图片描述
和前面三条评论对话反馈的一样,确认此虚拟主机已被黑客入侵…

在这里插入图片描述
在sec03虚拟主机上运行了dirb进行目录爆破…枚举的结果很多PHP文件…其中最吸引的是shell.php???
在这里插入图片描述
浏览到/index.php会将页面重定向到Mantis Bug Tracker软件的登录页面…这里是个坑,我是没找到相关的EXP漏洞…
在这里插入图片描述
访问shell.php是个空白页面??
这可能是黑客为了重新获得对服务器的访问而留下的后门吧…

在这里插入图片描述
如果猜测是后门,我利用Wfuzz进行了信息枚举…一下就发现了hidden…

在这里插入图片描述
执行后,发现这果然是黑客们留下来的后门…
该后门shell程序在名为ib01c03的用户下执行,继续进一步检查iptables规则/etc/iptables/rules.v4…
在这里插入图片描述
规则设置为拒绝除发起的连接外的任何入站和出站连接, 意味着无法从盒子中获得反向外壳…
在这里插入图片描述
虽然不能获得反向外壳,经过长时间的在页面上枚举,发现了mail下存在邮件信息…
可看到枚举获得了用户名密码…
在这里插入图片描述
namp发现开饭了ftp服务的…
利用用户名密码登录…目前靶机存在两个用户…
在ib03中获得了三个文件信息…一个日志,一个流量包,一个文本…下载
在这里插入图片描述
成功下载到本地,开始分析…
在这里插入图片描述
文本提示了,网络捕获包含攻击者用来入侵服务器的凭据…好好分析下流量包吧,里面包含了凭证信息…

在这里插入图片描述
果然,流量包不大,几分钟时间就枚举到了其中存在的用户名是邮箱地址,还有密码…
以及一串登录页面URL…

在这里插入图片描述
可看到ftp登录进去,获得了user_flag信息…

在这里插入图片描述
访问流量包获得了页面URL,这是一个登陆页面,且是用邮箱作为用户名登录…
这里可以利用用户名密码登录…里面是PrestaShop 1.7.4.4版本框架搭设的服务页面…存在SSH漏洞,可写入shell提反向外壳…这里不演示了…很简单…主要我网络一到晚上就卡,登录每次操作都要等3分钟左右,闹心…

在这里插入图片描述
继续分析流量包,发现了root.c文件流量信息…进一步分析…

在这里插入图片描述
#define DEVICE_NAME “ttyR0”
#define CLASS_NAME “ttyR”
在这里插入图片描述
magic[] = “g0tR0ot”…
可看到我查看了TCP流量包针对root.c的信息…
其中copy_from_user方法将输入数据复制到名为data的缓冲区中,然后将其与使用memcmp方法的字符串g0tR0ot进行了比较,如果输入与此字符串匹配的话,就会将用户的信息结构修改为root权限,并提升其外壳权限…
这可以通过向设备输入g0tR0ot来获得root访问权限…
在这里插入图片描述
如果这里用g0tR0ot字符串写入dev/ttyR0是不生效的,是因为字符串不符合条件…需要找到头部字符串…
g3tPr1vH
在这里插入图片描述
可看到将获得的head_g3tPr1v输入到/dev/ttyR0,获得了root权限…
在这里插入图片描述
那简单了,直接cat获得了root_flag信息…
这儿肯定是可以获得shell外壳的…我没研究下去了…太晚了,现在快凌晨一点了,休息吧…加油

中规中矩的靶机,其中很多乐趣都因为今天太累没深入研究…
可以写EXP在hidden,以shell外壳形式枚举信息是会更快的…没写,还是从URL进行了枚举…懒
可以在PrestaShop 1.7.4.4框架中深入研究下,可能有意想不到的漏洞,目前只提权了id03用户外壳…主要因为太卡太慢…
可以在最后利用Burpsuit进行注入,利用base64也好,进制转换shell也好,绕过机制,获得反向外壳root权限…这样还能在root里面遨游下继续枚举看看有什么别的有趣的信息…URL说实话只是为了完成任务…加油吧

由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hack The Box:Blue靶场
知柯信安
11-25 1334
Blue(蓝盒子) 欢迎订阅蓝色退休盒子! 这是另外一个简单的盒子,非常适合新人们熟悉nmap结果和使用metasploit。我启动这个盒子就像启动任何盒子一样,nmap扫描! 第一次扫描实际上只是用来查看目标主机上已打开并正在运行的内容。看一下,我们只看到3个服务和一堆端口打开。msrpc,netbios-ssn和microsoft-ds。如果这是您第一次入侵Windows计算机,您将经常看到这些服务。您将需要知道这些服务是什么。 MS-RPC是RPC协议的Microsoft实现。它曾经/仍然被用来制
scavenger-1.9.0-armv7-unknown-linux-gnueabihf-cpu-only.tar.gz
09-15
Scavenger是一个软件项目,版本号为1.9.0,专为ARMv7架构的处理器设计,适用于基于Linux的系统,并且仅包含CPU相关的功能,不涉及GPU或其他硬件加速。"gnueabihf"是针对ARM处理器的GNU EABI(Embedded Application ...
Hack The Box——Scavenger
江左盟的博客
03-23 793
简介 信息收集 使用nmap 10.10.10.155 -A扫描目标主机,如图: 可以看到开启了很多端口(21,22,25,43,53,80)和对应的服务以及版本信息,操作系统是Debian,版本基本上是10.0左右了。 漏洞发现 使用searchsploit和Google搜索相关服务对应版本的漏洞,发现Exim smtpd 4.89存在远程命令执行漏洞(CVE-2017-16...
hack the box archetype靶场
最新发布
qq_42754807的博客
05-28 844
hack the box archetype
Hack The Box——OpenKeyS
江左盟的博客
08-22 1万+
目录 简介 信息收集 漏洞发现 登录绕过 漏洞利用 权限提升 总结 简介 靶机比较简单,通过目录扫描发现swp文件,分析文件发现auth.php源码和用户名,然后利用CVE-2019-19521绕过登录,接着伪造Cookie获取用户的SSH私钥,利用该文件登录目标主机,最后利用CVE-2019-19520/CVE-2019-19522成功提升至root权限。 信息收集 使用nmap快速扫描目标主机开放的端口和运行的服务,发现开启22和80端口,分别运行OpenSSH 8.1和OpenB
Hack The Box——Luanne
热门推荐
江左盟的博客
12-06 1万+
目录 简介 信息收集 漏洞发现 Lua代码注入 漏洞利用 权限提升 用户r.michaels的Shell 总结 简介 靶机偏CTF类型,评分才2.3,评分这么低是有原因的。总体思路是通过lua代码注入获得WebShell,然后利用CVE-2010-2320读取普通用户ssh私钥文件,从而获得普通用户权限,最后通过解密enc文件,利用.htpasswd文件中的密码获得root权限。 信息收集 使用Nmap对目标主机进行端口扫描及服务识别,发现目标主机开启22、80和9001端口,且80
Hack The Box——Feline
江左盟的博客
03-30 1万+
简介 信息收集 nmap 访问
scavenger-1.9.0-aarch64-unknown-linux-gnu-cpu-only.tar.xz
09-15
scavenger-1.9.0-aarch64-unknown-linux-gnu-cpu-only.tar.xz
scavenger-1.9.0-armv7-unknown-linux-gnueabihf-cpu-gpu.tar.gz
09-15
"scavenger-1.9.0-armv7-unknown-linux-gnueabihf-cpu-gpu.tar.gz"这个文件名揭示了多个关键信息,它们涉及到软件版本、处理器架构、操作系统以及支持的硬件特性。 首先,"scavenger"是这个压缩包中的主要程序或库...
scavenger-1.9.0-x86_64-unknown-linux-gnu-cpu-gpu.tar.xz
09-15
scavenger-1.9.0-x86_64-unknown-linux-gnu-cpu-gpu.tar.xz
scavenger-1.7.8-armv7-unknown-linux-gnueabihf-cpu-only.tar.gz
04-22
这个压缩包的名称"scavenger-1.7.8-armv7-unknown-linux-gnueabihf-cpu-only.tar.gz"清晰地展示了这些特性,其中"armv7"代表处理器架构,"unknown-linux-gnueabihf"通常用于表示适用于基于ARM的Linux系统的交叉编译...
Nibbles - Hack the box
neal1991的专栏
03-17 469
IntroductionTarget: 10.10.10.75(OS: Linux) Kali linux: 10.10.16.44Information Enumera...
Hack the box: Bastion
neal1991的专栏
10-10 1298
介绍目标:10.10.10.134 (Windows)Kali:10.10.16.65In conclusion, Bastion is not a medium box...
Hack The Box - Access Writeup
qq_23026851的博客
01-23 1291
第一次尝试Hack The Box,在难度较低的Access上,前后花了有两天的时间,汗。收获还是很大,在此记录一下,以便后阅。 首先是获取user,通过nmap扫描,可以发现目标主机开了三个端口21(FTP),23(telnet),80(HTTP)。80端口是迷惑信息,先尝试利用FTP。 但是因为不知道登陆FTP的账号密码,这里也卡了很久TAT。后来才发现有anonymous登陆这种操作。上...
Hack The Box——ServMon
江左盟的博客
06-19 700
简介 信息收集 使用 漏洞发现 漏洞利用 权限提升 总结
HackTheBox-Hackerman
网安星空
02-20 360
HackTheBox网站CTF靶场杂项(Misc)相关题目Hackerman,主要知识点为图片的隐写术。
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6661
Hack The Box,一款有意思的渗透测试平台
Hack the box Oopsie
qq_41696858的博客
07-03 362
1.靶机IP 10.10.10.28,常规nmap -sC -sV 10.10.10.28扫端口,扫出22和80端口 2.打开浏览器,访问80端口,页面上没有啥,查看源码,找到/cdn-cgi/login,找到后台登录入口 3.登录,用户名 admin 密码没啥特别提示,尝试上一台靶机的密码,果然一样 4.后台四个模块,account模块管理账户信息,uploads上传文件 看见uploads,就知道找到了shell上传点,点开需要super_admin权限,通过抓包发现,其实是通过cookie里面的use
HackTheBox-Jeeves
网安星空
01-10 468
HackTheBox 网站CTF靶场PWN相关题目Jeeves,主要知识点为缓冲区溢出
https://github.com/google/emoji-scavenger-hunt怎么使用该仓库提供的模型
05-10
这个仓库提供了一个基于 TensorFlow.js 的 Emoji Scavenger Hunt 游戏,玩家需要在规定时间内找到屏幕上出现的相应的表情符号。其中,使用了一个预训练好的模型来检测屏幕上是否出现了相应的表情符号。 如果你想...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值