记录第一次玩htb的路程,虽然是看别人博客做出来的,但是也非常有收获。
关于hack the box就不用多介绍了,建议想考oscp的小伙伴来这里练习。我也在准备考......
第一玩,肯定要找个简单的,给自己点甜头。所以看中了下面的靶机。
看树状分布图,就知道是个比较简单的题(口气不小),但是对于我这种小白来说,还是非常难得。
一:直接nmap扫一波,结果如下
开放了80端口,访问后可以看到是opennetadmin,是一个网络管理的网站.也可以看到版本
二话不说直接到kali中搜索,看是否有相对应的漏洞。searchsploit opennetadmin结果如下
有三个,但是第一个版本不对,一是远程命令注入,一个是远程代码执行。直接用最后一个尝试:
./47961.sh http://10.10.10.171/ona/login.php,发现运行错误,看了错误日志,发现这个shell可能是在win下编写的,所以换行格式与Linux不同,运行后无法解析,所以使用命令dos2unix ./47961.sh 把文件转成unix下可执行文件。在运行发现已经拿到shell
拿到shell后,查看当前用户。whoami,发现是www-data。权限非常有限,nmap结果可以看到靶机还开放了22端口,所以此次的目的是找到可以登录ssh的用户以及密码。
命令 ls -la /home/ 可以看到此文件夹有两个用户 jimmy joanna 或者 cat /etc/passwd- 也可以看到有两个用户
然后就是再次进行信息收集,查看有可能存放密码的地方。最后找到了local/config/database_settings.inc.php文件,数据库配置文件,打开后发现密码。用此密码尝试登陆jimmy用户。登陆成功。
此时登陆成功后,在jimmy用户文件夹下还没有flag,需要登录joanna用户才能有flag。再次进行信息收集 再次进行信息收集 再次进行信息收集,重要的事情说三遍,信息收集可以说是贯穿整个渗透过程。最后发现一个重要文件在/var/www/internal/目录下有一个main.php文件。
会生成一个私钥,能够登录joanna。但是如果让这个文件执行呢,由文件名可知,肯定是访问不到的。所以这里还需要继续收集信息,此时可以查看apache的配置,看是否有其他帮助;最后找到配置文件/etc/apache2/sites-available/internal.conf。打开后发现是限制了IP访问,只能够本机访问,所以使用命令: curl http://127.0.0.1/main.php,生成私钥。
私钥生成后需要破解密码,登陆到joanna用户。
上数问题是因为ssh文件格式不对造成的。要像以下这样:
破解:john --wordlist=/usr/share/wordlists/rockyou.txt sshjohn.
密码为:bloodninjas
尝试登陆: ssh -i ssh.txt -l joanna 10.10.10.171,却发现报以下错误
查阅资料后,是因为ssh.txt文件权限给多了,chmod 600 ssh.txt后即可登陆。修改后登陆,输入密码bloodninjas。正确登陆,发现/home/joanna/目录下有user.txt文件。拿到flag.接下来就是拿root权限,读取root的flag。
尝试是否可以使用sudo命令,发现可以
可以看到最后一行,不需要密码可以执行这两个命令。
命令:sudo /bin/nano /opt/priv
拿到falg。
