HTB-靶机-RedCross

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.113

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.113 -o ./RedCross-autorecon

开放80和443，先访问web应用看看，使用IP地址访问的时候会自动跳转一个域名地址，我尝试在kali中绑定hosts

10.10.10.113 redcross.htb
10.10.10.113 intra.redcross.htb

是个登录界面，点击contact form

没发现啥东西，既然刚开始看到需要使用域名，而且有子域名，那么我们爆破下子域名

wfuzz --hw=28 -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -H "HOST:FUZZ.redcross.htb" https://redcross.htb 

绑定子域名admin的hosts信息然后访问

同样是个登录界面，先放着，信息都收集好了就开始一个一个进行突破了，先爆破下域名intra.redcross.htb的登录密码

wfuzz -c --hh 11 -u "https://intra.redcross.htb/pages/actions.php" -X POST -d "user=FUZZ&pass=FUZZ&action=login" -w /usr/share/seclists/Usernames/top-usernames-shortlist.txt

发现了一个存在来宾账号guest的用户，我们登录一下

这里之后尝试爆破admin的子域名登录窗口但是失败了，之后使用用户guest登录成功的session信息复制到admin的子域名cookie session中刷新一下，进入了管理员后台

进入之后发现有两个功能选项，一个添加用户功能，一个网络防火墙功能，我先添加一个用户bmfx

然后使用上面的用户通过ssh进行登陆发现权限极低，放着吧，再看看那个网络防火墙的功能，先添加一个本地回环口IP地址然后使用burpsuite进行抓包，添加成功之后显示了一个deny按钮，我也点击删除了一下，具体数据包如下

将两个请求数据包测试了下，最后发现删除防火墙测量的请求数据包存在命令执行漏洞，具体如下

然后使用which查看了目标可能存在的环境，确认存python环境，直接使用python反弹代码进行反弹shell

成功反弹shell

然后就是翻看目标靶机的各种文件了，这里翻看了家目录看到user.txt但是没有权限读取，然后翻看了当前web应用的根目录各个文件，发现了登录数据库的各种账号和密码

使用数据库管理员登录数据库

通过上面显示的用户信息发现就是刚刚上面新创建的用户，看到gid，uid，就想到Linux系统最终还是会看uid和gid信息，所以修改此信息会直接修改权限，根据经验可以尝试修改gid为0试试看，但是经过测试发现gid虽然具有root权限，但是靶机做了限制，限制只允许sudo组的用户才能读取root.txt所以可以试着更改数据库将gid直接更改为27，这里的27可以根据目标系统是Debian系统，然后本地装个这类的系统看下/etc/group里面的sudo对应的gid就可以了，一般都是一样的，下面看操作

这里注意，操作完成要退出数据库然后就会生效，我刚开始操作完成没有退出数据库操作没生效导致结果花了些时间，完成之后再次ssh登录目标

提权为root

PS：再提下，这里也可以将gid更改为6，因为6是disk权限，可以通过debugfs进行读取root.txt

参考：https://serverfault.com/questions/538383/understand-pam-and-nss/538503#538503