HTB靶场(Poision+Valentine)

目录
0x00:第一个靶机
0x01:探测靶机
0x02:利用心脏滴血漏洞
0x03:挖掘目录
0x04:整理SSH信息
0x05:提权
0x06:第二个靶机
0x07:探测靶机
0x08:挖掘80端口信息
0x09:解压缩包文件密码
0x10:提权

0x00:第一个靶机

Valentine感觉还行有点脑筋急转弯那味了

0x01:探测靶机

这次改回用nmap了。由于Autorecon最近有点问题不用了,这次主要看这3个端口，22，80和443

80端口是一个女人和心脏emmmm一开始还不太理解。

然后进入443端口提取一下里面的信息。由于我们浏览器输入IP地址是以HTTP的形式跟别人沟通但是443端口只会ssl 所以阿巴阿巴了。

这里想了一会突然想到上学期期末考的心脏滴血漏洞概念

要是还不放心用nmap的script功能确认一波石锤

0x02:利用心脏滴血漏洞

这里一开始想用searchsploit找到的自带py脚本结果有点意外用了这位大佬的py脚本
https://github.com/diablowu/heartbleed-poc/blob/master/heartbleed-poc.py

使用方法就是python + mingzi.py -p 443(注意这是python2的脚本请自行调整自己的kali python版本)找到一个$text=base64编码的东西

由于复制有点问题只能手敲得到一串字符串后面会用到

0x03:挖掘目录

这里提前用dirbuster扫好了。在/dev下发现2个特别的东西

hype_key看它的排序有点像16进制

notes.txt废话多一点

那把刚才hype_key丢到在线网站解密一波，懂了是SSH密钥

0x04:整理SSH信息

首先把它复制到刚新建好的id_rsa里面

然后ssh -i id_rsa hype@10.10.10.79登录密码就是刚才base64解密出来的东西(hype做为用户名是因为刚才那里是hype_key)

0x05:提权

由于刚才登录看到Ubuntu 12.04 Linux 3.2.0-23-generic的系统信息。肌肉记忆激活脏牛条件竞争启动

kali本地开启python共享，在靶机上用wget下载

使用方法如图:

跟着走提权成功

0x06:靶机介绍

这次的靶机是Poison,拿shell不是很难，难点在提权

0x07:探测靶机

最近autorecon好像出了点毛病，只能扫出第一个端口。其实开了22和80端口裂开。。。

0x08:挖掘80端口信息

输入IP到浏览器起码可以正常回显。观察一波页面列举了一些php文件其中有一些熟悉的。

这里输入常见的phpinfo.php就会跳转到版本信息，同时观察到URL变成.php?file=xxx，很明显这是一个可能存在本地文件包含的地方

尝试了以下把.php?file=后面变成/etc/passwd可以看到波用户列表石锤有本地文件包含漏洞,同时看到有正常用户charix，这里可以考虑通过本地文件包含漏洞写shell但由于太菜了只能用另外一种方法

在listfiles.php会列举出当前所有文件，同时观察到尾部有一个pwdbackup.txt的文件

跟进一波emmmmm行吧看到最后的=多半是base64加密了很多次。。。。

解密了好久以后终于得到一个用户密码

利用这个密码登录22端口成功顺便得到flag

0x09:解压缩包文件密码

这里在/home/charix目录下看到一个secret.zip的文件想解压的时候发现居然还有密码

那么在kali本地使用scp命令把它拷贝下来

使用john爆破但是等了一个多小时还解不出来肯定有猫腻

这里最后尝试了以下原来是刚才登录的SSH密码输入charix的密码就可以了。也难怪John跑不出来。。。。不过打开以后有点懵逼这是啥加密

0x10:提权

无果，只能尝试提权只不过提权三大将都倒了。

那只能通过ps aux查看进程好家伙一堆root在运行肯定有猫腻，一直往下看到一个Xvnc 运行在本地desktop的。这是一个突破点。可以尝试端口转发到我们的kali本地借着这个xvnc(远程桌面控制)穿到root那里

这里先在网上查了以下vnc的默认端口是5901，然后我们就在kali上使用SSH连上去,输入密码以后没弹出任何东西就代表连上了

最后在开一个新窗口直接vncviewer连接到5901端口配上刚才解压出来的secret就能登录成功了。(注:登录要密码的一开始没有-passwd是不给登录的)

最后打波小广告欢迎大家关注我们的公众号神隐攻防实验室