HTB靶场记录之Cronos

 

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章，旨在为大家提供更多的学习方法与技能技巧，文章仅供学习参考。

相关文章>>

HTB靶场记录之OpenAdmin

HTB靶场记录之Popcorn

HTB靶场记录之Europa

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章，公众号旨在为大家提供更多的学习方法与技能技巧，文章仅供学习参考。

HTB是一个靶机平台，里面包含多种系统类型的靶机，并且很多靶机非常贴近实战情景，是一个学习渗透测试不错的靶场。

 

1、靶机介绍

这次的靶机是Cronos，Linux靶机难度为中等。

 

2、信息收集

使用万能的autorecon跑完后，开了22，53，80端口。

 

看到80端口直接冲过去，发现了经典Apache2页面，然后进行dirb，dirbuster各种目录扫描，居然没有收获。

 

只好把目光转回53 DNS端口，是否要在/etc/hosts加个域名进去?

结果还是不行。

 

既然都不对，只能用dig挖一下，挖到一个admin.cronos.htb的。

 

把/etc/hosts加回去。

 

这次终于可以正常访问了，一个是正常页面，另外一个admin是登录框。

 

 

3、绕过登录框

看到admin.cronos.htb这个登录框启动SQL注入，然而结果是个false value。

 

这里忘记截另外一个图了，在sqlmap的某条payload，提示302状态码，跳到/welcome.php界面。

我测试了这个登录框，它只会判断存不存在，不会做出限制，也就是说可能存在绕过，试了基本的SQL绕过，然后点击：

 

直接到welcome页面，还有这个ping的功能，这步就是暗示命令注入漏洞？

 

4、命令注入漏洞

观察了一下，除了traceroute以外还有个Ping功能，这里简单尝试用；挡住然后加敏感词进去直接返回我想要的内容。

 

换成pwd也可以成功执行，是时候插入一句话了。

 

然而我的nc不成功，只能换条长的进去。

 

提前开启nc得到反弹shell，顺便读到flag。

 

5、提权

这次用一个uname -a，结果发现这是个4-4.0-72的内核。

 

查了下神器44298直接是从0-到116都可以。

 

还是像之前一样，传一个44298直接提权成功。

然而我问了下大佬提权部分结果好像不是这样做的，下次我尽量不用44298。

 

以上为今天分享的内容，小伙伴们看懂了吗？