**
HackTheBox-Linux-OpenAdmin-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/222
靶机难度:初级(4.2/10)
靶机发布日期:2020年4月16日
靶机描述:
OpenAdmin is an easy difficulty Linux machine that features an outdated OpenNetAdmin CMS instance. The CMS is exploited to gain a foothold, and subsequent enumeration reveals database credentials. These credentials are reused to move laterally to a low privileged user. This user is found to have access to a restricted internal application. Examination of this application reveals credentials that are used to move laterally to a second user. A sudo misconfiguration is then exploited to gain a root shell.
作者:大余
时间:2020-08-12
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.171…
我这里利用Masscan快速的扫描出了22,80端口,在利用nmap详细的扫描了这些端口情况…
apache界面,添加下域名,然后爆破一波…
存在ona…
该页面是OpenNetAdmin框架…v18.1.1版本…
可看到存在漏洞…本地也可以查,这里有很多方法提权了…MSF或者写EXP,直接利用EXP都可以…
成功获得了WWW低权外壳…
枚举存在的用户信息…
在/opt/ona/www/local/config/database_settings.inc.php发现了db_passwd密码信息…
二、提权
方法1:
利用获得了db_passwd密码信息,成功登录jimmy用户界面…无法查看user_flag,需要进一步获得joanna用户…
这里可以看到main.php可以直接获得joanna用户的id_rsa密匙…
在index.php查看到了MD5值…
爆破成功…
直接本地查看了端口信息,访问52846/main.php获得了id_rsa密匙信息…
这里利用index获得的密码配合id_rsa无法登录…继续利用ssh2john和john爆破获得了密码…
通过爆破的密码,成功ssh登录joanna用户界面并获得user_flag信息…
方法2:
可以通过将PHP shell编写到/var/www/internal文件夹中…然后植入简单shell获得反向外壳即可…
sudo -l 发现nano执行priv可提权…
https://gtfobins.github.io/gtfobins/nano/ —参考
命令:sudo nano /opt/priv
执行nano后,control+r在加control+x进入execute执行命令即可…随意输入shell命令都可提权…
成功获得了root权限并获得了root_flag信息…
简单的靶机,简单的漏洞…修复即可…方法原理一样但是OpenNetAdmin框架我也是第一次遇到并提权…
HTB每台靶机都不一样,但是掌握了渗透方法原理,都是问题不大…加油
由于我们已经成功得到root权限查看user和root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
