HTB 学习笔记
【Hack The Box】linux练习-- Poison
🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月11日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
信息收集
22/tcp open ssh OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)
| ssh-hostkey:
| 2048 e33b7d3c8f4b8cf9cd7fd23ace2dffbb (RSA)
| 256 4ce8c602bdfc83ffc98001547d228172 (ECDSA)
|_ 256 0b8fd57185901385618beb34135f943b (ED25519)
80/tcp open http Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
80页面长这样
在listfiles.php这个文件中发现了编码,经过13次解码,得到一个密码
Charix!2#4%6&8(0
感觉有lfi
果然有,并且得知了两个用户
没有复制,这里就自己看吧,uid大于等于1000的
有了lfi,也有之前界面上说的phpinfo.php
众所周知:lfi加phpinfo=rce
并且支持上传文件
https://github.com/roughiz/lfito_rce
这里脚本出了点问题,先直接ssh登陆了
ssh登陆
ssh用刚才的那个密码,另一个非root用户
发现了一个压缩包
传回本地打开(scp)
密码与ssh登陆密码一致
基于ssh的scp文件传输
scp charix@10.10.10.84:secret.zip .
vnc提权
ps -aux
发现了vnc
我们也可以通过发现本地开放的端口来识别出vnc因为他通常开放在5800或5900
通过linpeas.sh的方式
vnc “Xvnc” 正在以 root 身份运行。 VNC 是一个与 RDP 非常相似的远程服务应用程序。 它通常在端口 5900 或 5800 上运行。
而他在本地开放,我们利用ssh端口转发
ssh端口转发
```clike
127.0.0.1:5901 是目标主机
-L 5901 是自己端口
ssh -L 5901:127.0.0.1:5901 charix@10.129.1.254
vncviewer -passwd secret localhost:5904
secret 是已经获得的密码文件
并且要提前将端口转发出来(一般都是本地的服务)