HTB靶场记录之SolidState

 

 

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

相关文章>>

HTB靶场记录之Arctic

HTB靶场记录之OpenAdmin

HTB靶场记录之Popcorn

HTB靶场记录之Europa

HTB靶场记录之Cronos

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。

HTB靶场记录之Cronos

 1、靶机介绍

这次的靶机是SolidState,难度为Medium。

HTB靶场记录之SolidState

 

2、信息收集

常规操作起手python autorecon.py慢慢信息收集。这里扫到邮箱端口有1个HTTP,还有一个奇奇怪怪的JAMES。

HTB靶场记录之SolidState

 

80端口起码是个比较正常的网页。

HTB靶场记录之SolidState

 

3、利用弱口令登录4555端口

去到4555端口感觉有点奇怪,都不给我输入东西直接login failed。

HTB靶场记录之SolidState

 那么我改成万能的nc,一开始用adminadmin卒,换成双root成功。

HTB靶场记录之SolidState

 

可以用Help查看命令。

这里我用Listuser可以列出当前的用户,可以理解为用弱口令登录超级管理员。

HTB靶场记录之SolidState

 

这里顺便根据名字查了以下有个py脚本可利用。

HTB靶场记录之SolidState

 

打开以后要注意这个py脚本是2014年的要自动把python环境降为py2,顺便把payload改为一句话等下会用。

HTB靶场记录之SolidState

 

4、登录邮箱端口探查信息

成为root后直接把所有密码设置为123456。

HTB靶场记录之SolidState

 

此时用我们的nc连接邮箱端口,110用刚才的一堆用户配合密码123456逐个查看。

HTB靶场记录之SolidState

 

去到John邮箱看到他老板给他个任务限制新员工mindy的权限。

HTB靶场记录之SolidState

 

去到Mindy邮箱有2封信。

第一个是欢迎:

HTB靶场记录之SolidState

 

第二封直接拿到个账号结合前面john老板的语气,应该是ssh端口作为突破点。

HTB靶场记录之SolidState

 

登录成功

HTB靶场记录之SolidState

 

不过这个rbash肯定是个限制shell。

不过可以绕过。

HTB靶场记录之SolidState

 

5、绕过限制shell

目前这个shell属实折磨cd都做不了,没办法只好利用刚才的py脚本,这里要删掉目前窗口重新登录一次,提前开启nc,然后在python2环境下Python 35513.py。

HTB靶场记录之SolidState

 

记得重新登录一次提前开启nc,成功接收逃离shell。

HTB靶场记录之SolidState

 

6、提权

这里提权属实大E了,理解错误。我们先用psaux |grep james 人名来检查一波各种打工人的权限。

去到james那里发现一个run.sh奇奇怪怪先去到/opt

HTB靶场记录之SolidState

 

去到/opt的时候发现一个tmp.py居然是3个rwx=chmod 777。

谁都可以编辑而且是root权限,看了一波脚本内容。经过后面的实验就是每隔几分钟会删除/tmp里面所有内容。

HTB靶场记录之SolidState

 

因为是777权限也就是说任何人都能执行这个tmp.py脚本。

很容易就会想到插入一句话反弹。但要注意一个问题。目前root是隔几分钟就会运行tmp.py去删除/tmp目录下的内容,而我作为mindy用户也可以直接python起手直接删了/tmp目录里面的内容。

但不同的点在于一个是mindy,一个是root。假如说我们插入python反弹shell进入tmp.py以后直接运行是以mindy用户运行反弹文件。那接收的shell也是mindy的。不会直接越级,而只有当root运行反弹python脚本以后,接收过来的才是root权限。

所以我们先传一个改好的tmp.py脚本上去

HTB靶场记录之SolidState

 

去到tmp目录下把它传过来以后cp过去

HTB靶场记录之SolidState

 

最后啥也不做直接开nc慢慢等shell回来就能变root了。

HTB靶场记录之SolidState

 

今天的内容分享,大家看懂了吗?

 

posted @ 2022-02-22 17:11  i春秋  阅读(66)  评论(0编辑  收藏  举报