• HTB-靶机-Frolic


    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.111

    本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

    执行命令 autorecon 10.10.10.111 -o ./Frolic-autorecon

    爆破到目录admin访问下

    没发现啥东西,查看下网页源代码

    看到一个js文件

    发现有个success.html的路径

    访问结果如上,经过谷歌搜索确认跟密码学有关,解密地址:https://www.splitbrain.org/_static/ook/

    得到上面的一个路径,再访问一把

    得到上面的base64编码信息,将其解码重定向到一个文件中

    sudo echo 'UEsDBBQACQAIAMOJN00j/lsUsAAAAGkCAAAJABwAaW5kZXgucGhwVVQJAAOFfKdbhXynW3V4CwABBAAAAAAEAAAAAF5E5hBKn3OyaIopmhuVUPBuC6m/U3PkAkp3GhHcjuWgNOL22Y9r7nrQEopVyJbsK1i6f+BQyOES4baHpOrQu+J4XxPATolb/Y2EU6rqOPKD8uIPkUoyU8cqgwNE0I19kzhkVA5RAmveEMrX4+T7al+fi/kY6ZTAJ3h/Y5DCFt2PdL6yNzVRrAuaigMOlRBrAyw0tdliKb40RrXpBgn/uoTjlurp78cmcTJviFfUnOM5UEsHCCP+WxSwAAAAaQIAAFBLAQIeAxQACQAIAMOJN00j/lsUsAAAAGkCAAAJABgAAAAAAAEAAACkgQAAAABpbmRleC5waHBVVAUAA4V8p1t1eAsAAQQAAAAABAAAAABQSwUGAAAAAAEAAQBPAAAAAwEAAAAA' | base64 -d > bmfx

    发现是zip格式的文件, 将此文件添加后缀为zip格式,然后再使用unzip进行解压,发现需要密钥,直接是字典rockyou.txt通过fcrackzip进行破解

    fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u bmfx.zip

    解压后得到文件index.php

    确认上述内容是16进制文件,通过在线16进制转换,将其转换为字符

    又得到了base64编码,将其解码

    又回到刚开始的密码学知识点,再次将其解密,地址:https://www.splitbrain.org/_static/ook/

    看上面意思就是密码了,登录http://10.10.10.111:9999/admin/ 显示登录有问题,不能正常登录,我们再回到上面爆破的目录中发现dev,访问显示403,再通过gobuster进行目录爆破,发现了dev下面还存在个backup

    到了这一步就可以通过metasploit直接使用exploit进行利用了,我这里还是喜欢手动操作,对应的exploit地址:https://www.exploit-db.com/exploits/42044

    详细的演示方法可以看上面链接中作者给的视频链接查看,我这里利用完成再访问显示504,所以无法给大家演示了,大概方式就是找到导入电话本的导入功能,然后本地新建一个csv格式的文件,里面写入如下内容

    导入之后在firefox浏览器中配置反弹代码,然后本地监听反弹端口即可

    上述配置好之后,导入csv格式的文件即可成功反弹shell

    读取完成user.txt之后查找4000权限的文件

    找到一个二进制文件,知道本靶机需要使用缓冲区溢出漏洞进行提权,具体分析可参考:https://0xdf.gitlab.io/2019/03/23/htb-frolic.html

    ./rop `python -c "print 'A'*52 + 'xa0x3dxe5xb7' + 'xd0x79xe4xb4' + 'x0bx4axf7xb7'"`

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    mysql 设置自增主键id的起始值
    一文搞定MySQL的事务和隔离级别
    SpringBoot2.0整合Redis
    Redis Cluster搭建高可用Redis服务器集群
    为什么单线程的Redis这么快?
    Spring Boot使用AOP在控制台打印请求、响应信息
    Spring boot集成spring session实现session共享
    SpringBoot项目在IntelliJ IDEA中实现热部署
    Spring Boot入门-快速搭建web项目
    一篇文章搞定SpringMVC参数绑定
  • 原文地址:https://www.cnblogs.com/autopwn/p/14140028.html
Copyright © 2020-2023  润新知