本文详细描述了一次针对HackTheBox靶机的渗透测试过程,包括端口扫描、发现80端口的重定向,利用TinyFileManager的文件上传漏洞获取反弹shell,通过WebSocket进行SQL盲注,利用doas和dstat插件进行提权,以及子域名发现和账户注册登录等步骤。
网址:Hack The Box
考点
信息收集,文件上传,获取反弹shell之后的信息收集,websocket的sql注入,doas dstat的插件提权
渗透
靶机ip地址
10.10.11.194
nmap -p- 10.10.11.194扫描靶机端口
扫描出开放端口
在进行更详细的扫描
发现80端口自动跳转到soccer.htb上面
我们echo 10.10.11.194 soccer.htb >> /etc/hosts
访问网站
上下左右都点击过了,没有发现什么东西
我们使用wfuzz扫描一些
ffuf -w /usr/share/seclists/Discovery/Web-Content/raft-small-directories.txt -t 100 -mc 200,302,301 -u http://soccer.htb/FUZZ
发现一个文件夹
访问
发现是一个文件管理系统
我们去github搜索一些tiny file manager
发现
往下翻发现
默认密码,进行登录
发现可以在tiny/uploads/里面上传文件,我们这边直接php反弹shell
cp /usr/share/webshells/php/php-reverse-shell.php ./
vim php-reverse-shell.php
修改至自己的ip地址
上传至靶机并迅速访问
获取shell
使用rlwrap会可以向终端一样使用上下左右,更加方便操作一些
启动http上传linpeas.sh
将linpeas.sh传到靶机运行
发现另一个子域名
将子域名写入
echo 10.10.11.194 soc-player.soccer.htb>>/etc/hosts
访问
注册账号
登录
来到这个页面查看源代码
发现websocket
在github搜扫websocket sql injection
下载使用
没有跑出来数据但是知道了用户所在的数据库和数据表
dump-all跑出所以数据
exclude-sysdbs除了系统默认的数据库
ssh尝试登陆
登录成功
提权
发现doas
发现doas在/usr/local/etc/doas.conf
提示可以使用dstat
google搜索一些
提权
761
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
