HTB靶场记录之Cronos

 

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

相关文章>>

HTB靶场记录之OpenAdmin

HTB靶场记录之Popcorn

HTB靶场记录之Europa

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。

HTB靶场记录之Cronos

 

1、靶机介绍

这次的靶机是Cronos,Linux靶机难度为中等。

HTB靶场记录之Cronos

 

2、信息收集

使用万能的autorecon跑完后,开了22,53,80端口。

HTB靶场记录之Cronos

 

看到80端口直接冲过去,发现了经典Apache2页面,然后进行dirb,dirbuster各种目录扫描,居然没有收获。

HTB靶场记录之Cronos

 

只好把目光转回53 DNS端口,是否要在/etc/hosts加个域名进去?

结果还是不行。

HTB靶场记录之Cronos

 

既然都不对,只能用dig挖一下,挖到一个admin.cronos.htb的。

HTB靶场记录之Cronos

 

把/etc/hosts加回去。

HTB靶场记录之Cronos

 

这次终于可以正常访问了,一个是正常页面,另外一个admin是登录框。

HTB靶场记录之Cronos

 

HTB靶场记录之Cronos

 

3、绕过登录框

看到admin.cronos.htb这个登录框启动SQL注入,然而结果是个false value。

HTB靶场记录之Cronos

 

这里忘记截另外一个图了,在sqlmap的某条payload,提示302状态码,跳到/welcome.php界面。

我测试了这个登录框,它只会判断存不存在,不会做出限制,也就是说可能存在绕过,试了基本的SQL绕过,然后点击:

HTB靶场记录之Cronos

 

直接到welcome页面,还有这个ping的功能,这步就是暗示命令注入漏洞?

HTB靶场记录之Cronos

 

4、命令注入漏洞

观察了一下,除了traceroute以外还有个Ping功能,这里简单尝试用;挡住然后加敏感词进去直接返回我想要的内容。

HTB靶场记录之Cronos

 

换成pwd也可以成功执行,是时候插入一句话了。

HTB靶场记录之Cronos

 

然而我的nc不成功,只能换条长的进去。

HTB靶场记录之Cronos

 

提前开启nc得到反弹shell,顺便读到flag。

HTB靶场记录之Cronos

 

5、提权

这次用一个uname -a,结果发现这是个4-4.0-72的内核。

HTB靶场记录之Cronos

 

查了下神器44298直接是从0-到116都可以。

HTB靶场记录之Cronos

 

还是像之前一样,传一个44298直接提权成功。

然而我问了下大佬提权部分结果好像不是这样做的,下次我尽量不用44298。

HTB靶场记录之Cronos

 

以上为今天分享的内容,小伙伴们看懂了吗?

posted @ 2021-11-18 16:00  i春秋  阅读(146)  评论(0编辑  收藏  举报