记一次对HTB:trick的渗透测试

举报
亿人安全 发表于 2023/03/31 10:09:48 2023/03/31
【摘要】 信息收集端口扫描首先使用nmap对端口进行探测。找到了SSH (22) 和 HTTP (80)。2个端口。接着使用nmap对SMTP 协议去爆破一些用户名。使用脚本爆破SMTP协议使用smtp-user-enum 脚本来检查这些用户:使用telnet发现也不能成功。DNS协议使用 DNS来看域名的的解析情况。子域名枚举接着使用wfuzz对子域名进行枚举。访问主页查看页面有没有一些可用的东西。...

信息收集

端口扫描

首先使用nmap对端口进行探测。找到了SSH (22) 和 HTTP (80)。2个端口。

接着使用nmap对SMTP 协议去爆破一些用户名。

使用脚本爆破SMTP协议

使用smtp-user-enum 脚本来检查这些用户:

使用telnet发现也不能成功。

DNS协议

使用 DNS来看域名的的解析情况。

子域名枚举

接着使用wfuzz对子域名进行枚举。

访问主页查看页面有没有一些可用的东西。

漏洞利用

万能密码登录

当我搜索http://preprod-payroll.trick.htb时,它会自动将我重定向到登录页面。

然后f12查看到,是一个员工管理系统,然后搜索nday漏洞。发现该系统存在sql注入漏洞。

漏洞详情链接:

https://www.sourcecodester.com/php/14475/payroll-management-system-using-phpmysql-source-code.html

使用' or 1=1--,对该网站可以通过万能密码登录。

sql注入漏洞

手动测试

登录框处存在一个时间盲注。

进行手动测试,输入1=1 和1=2进行对比,发现返回的结果1个是1,1个是3。

sqlmap测试

接着使用sqlmap进行从测试。

先判断注入点:sqlmap -r x.txt --dbms --batch

然后找到注入点之后,使用--current-user枚举当前数据库的用户

接着去枚举数据库里面的表。

接着去枚举表里面的用户。

使用sqlmap读取文件

可以配置 SQL,以便我可以通过注入读取文件。sqlmap允许使用--file-read参数。有用:

接着使用wfuzz枚举子域名。成功枚举出新的子域名。

文件包含漏洞

该网站在使用前面的万能密码登录之后,存在文件包含漏洞。接着尝试使用 PHP 过滤器对 URL 进行本地文件包含 (LFI)。

http://preprod-payroll.trick.htb/index.php?page=php://filter/convert.base64-encode/resource=index

先去读doductions文件,然后使用base64解密。

接着去读index文件,然后解密之后发现新的php。

接着继续去读login文件。继续解密。

最后发现了db_connect.php,读出了数据库的用户名和密码。

接着就可以使用ssh进行登录。

目录遍历漏洞

源码分析

目录遍历

尝试在 web 目录之外加载一个文件(/etc/passwd这是一个通用文件,因为它是世界可读的并且总是在同一个地方)使用绝对路径(http://preprod-marketing.trick.htb/index.php?page=/etc/passwd)和相对路径( )都会失败http://preprod-marketing.trick.htb/index.php?page=../../../../../../../../../etc/passwd。

阅读 index.php 源码

只需包含index.php类似http://preprod-marketing.trick.htb/index.php?page=index.php, as 的index.php内容将再次执行,而不是返回源代码。尝试获取源代码的一种方法是使用 PHP 过滤器。访问http://preprod-marketing.trick.htb/index.php?page=php://filter/convert.base64-encode/resource=index.php可以在包含之前进行base64编码index.php,然后只会出现base64文件。接着继续使用sqlmapap读文件--file-read=/var/www/market/index.php

发现源码将../进行过滤。我们可以使用....//进行绕过。

<?php
$file = $_GET['page'];

if(!isset($file) || ($file=="index.php")) {
   include("/var/www/market/home.html");
}
else{
        include("/var/www/market/".str_replace("../","",$file));
}

成功遍历到了/etc/passwd。

接着去遍历id_rsa。

ssh远程连接

然后将其加到本地文件中,使用chmod增加权限,继续使用ssh远程连接。

获取user.txt

连接之后,成功获取到user.txt文件。

权限提升

fail2ban提权

配置分为三个部分fail2ban:

  • 过滤器定义要在给定日志文件中查找的模式。
  • 一个动作定义了可能发生的事情(比如iptables正在制定的规则)。
  • 将过滤器连接到动作。

使用suo -l 检查该用户运行那些程序。

发现michael 可以fail2ban以 root 身份重新启动。

文章链接:https://grumpygeekwrites.wordpress.com/2021/01/29/privilege-escalation-via-fail2ban/

然后进入fail2ban目录。

漏洞利用

接着进行漏洞操作。修改其配置文件。

mv /etc/fail2ban/action.d/iptables-multiport.conf /etc/fail2ban/action.d/iptables-multiport.bak 
cp /etc/fail2ban/action.d /iptables-multiport.bak /etc/fail2ban/action.d/iptables-multiport.conf 
ls -l /etc/fail2ban/action.d/iptables-multiport.conf  

然后使用crackmapexec进行爆破。

接着使用nano进行编辑配置文件

对actionban进行修改。重启服务之后,发现还是不能触发漏洞。

重启环境之后,继续进行第二次测试。

使用vi对配置文件进行编辑。

actionban=cp/bin/bash/tmp/x; chmod4777/tmp/x

接着重启服务。

继续使用crakmapexec进行爆破,触发漏洞。

获取root.txt

成功触发漏洞,然后使用/tmp/x -p执行命令。

最后成功获取到root.txt。

总结

该靶机首先,通过一个ip,然后对ip进行信息收集,发现开放了22,80,25端口,接着使用脚本探测SMTP协议中存在那些用户,接着使用wfuzz进行文件子域名枚举。漏洞利用:主要是登录框存在sql注入和万能密码登录。登录进行之后,存在文件包含漏洞,接着读一些关键的文件,然后继续fuzz子域名。发现子域名的框架也存在文件包含漏洞。然后获取id_rsa,然后登录ssh。接着使用新的一种提权方式-滥用fail2ban进行权限提升。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。