主页

kali中hack the box 实战记录一

1510阅读 0条评论

cover

简介:hack the box,是一个国内外hack交流学习平台,能许多大神交流合作,你能从中深入学习到有用的渗透知识,并在靶场验证自己的实力。
(我只是小虾米,连菜鸟都算不上,本次贴子仅仅是记录学习过程,如有错误,希望大佬嘴下留情)

本次实战,靶场为“大使”

hack.png

目标:拿到目标主机IP为10.10.14.86的最高权限

准备阶段

1.在kali中下载官方提供的openvpn,并启动

1.png

检查一下是否运行

2.png
可以看到tun0 已经正常运行

信息收集阶段

1.使用nmap -sS 10.10.11.183 //快速扫描开放端口,当然如果能用proxychains nmap -sS 10.10.11.183最好(挂代理,再扫描)
3.png

能发现存在22、80、3000、3306端口。从中可以看到主机提供网页服务http是80端口,3306端口是mysql默认端口,能远程连接数据库

2.先访问一下各个端口,看是否留下隐藏信息

目标机80端口提供网页:

4.png

翻译一下:
最近的帖子
欢迎来到大使发展服务器
大家好!这个服务器为Ambassador的开发人员提供了一个独立的开发环境。当你开始时作为Ambassador的开发人员,您将被分配一个自己使用的开发服务器。连接到此机器使用将开发人员帐户转到SSH,DevOps会给你密码。
阅读更多

得到一个重要信息,22端口账号为DevOps,

kali中尝试用hydra暴力破解一下:ssh: hydra -L users.txt -P password.txt -vV -o ssh.log -e ns 10.10.11.183 ssh

跑了很久,也没结果。推测为强密码,先去看看其他端口。

3306端口
6.png

在此端口的网页服务中,能找到当前使用的系统版本号:8.0.30ubuntu的系统和他mysql数据库的信息,再看看3000端口的服务

3000端口
7.png

可以看到3000端口为一个网页服务,攻击方向有:输入框暴力破解、sql注入、EXP漏洞利用、top10等
本次选择EXP漏洞,经查询其存在任意读取文件漏洞

漏洞利用

1.由于我没用过Grafana,百度一下它的exp漏洞,看看能否有相应版本的漏洞能利用

百度后得知其有一个任意读取文件漏洞
8.png
9.png

2.在kali中用burpsuite尝试一下playload重放攻击

10.png
查证后,发现确实有读取漏洞,下一步尝试读取它数据库文件,已知3306端口的mysql数据库也为3000端口的Grafana页面提供服务,猜测Grafana数据库中也存储着3306端口的账号密码。

3.11.png
利用任意读取文件漏洞,读取其数据库文件,发现太长,并且有乱码,从中发现原本提供服务的数据库软件为sqlite。

4.于是,先使用kali下载当前数据库文件再使用自带的sqlite查询,使用curl下载命令脱库

12.png
13.png
使用sqlite查询数据库
14.png
查询其中user数据库,得到一个md5加密字符

15.png
经检验,查询不到,为强密码,再想想,一般网页暂存数据库,将真正3306的服务放置在
data_source中,试试

16.png
得到账号为grafana和明文密码dontStandSoCloseToMe63221!

尝试进行登录
17.png
成功侵入他的数据库,先查询一下有用数据

数据库
18.png

仅可以查到这几个表单,我这才意识到并不是root权限,先进去看看,grafana这个表单没有东西,inf、mysql、per、sys都是建库自带的文件,抛开这几个,剩下一个whackywidget的表单是用户自己的

19.png
得到一个账号为developer和以base64加密的密文YW5FbmdsaXNoTWFuSW5OZXdZb3JrMDI3NDY4Cg==
将得到的密文解密一下.

20.png
解密得到密码:anEnglishManInNewYork027468,联合之前在80端口页面得到的信息可知

ssh账号为developer,密码为:anEnglishManInNewYork027468

21.png
成功登录他的系统

22.png

23.png
可以看到已经在目标机的内部了,下面将实现提权

提权
先了解一下目标环境
24.png

可以看出他系统的一些配置和开放端口,尝试提权进一步控制他的电脑

25.png

找到一个user.txt不知道有什么用,解密一下,也没解出来,先放着吧。
想了想先去系统默认安装软件的地方,看看有没有直接调取root权限的第三方软件,尝试控制它

26.png

在这一层级中发现.git日志,查看该日志文件

27.png
拿到了他的token:bb03b43b-1d81-d62b-24b5-39540ee469b5

28.png

仔细找找,找到他还使用consul,专门去查找了一下,发现存在consul远程命令执行漏洞,能间接实现提权

先打开kali自带的msf,查询一下他远程命令执行漏洞

29.png
是第一个,那么就使用第一个
30.png

先show options查询一下使用该漏洞的需求是什么
31.png
可以看出要目标主机IP、目标8500端口、8080监听端口、目标主机号等

由于需要目标机在外网只有22、3000、3306、80这几个端口,不能直接打到目标,所有需要端口转发8500端口,实现我本地主机的8500端口与他的8500端口中间连通隧道,再使用msf生成的远程命令执行漏洞,打自己的8500端口就等同于打他的8500.
我这里是用的8500端口转发,实现msf中EXP漏洞利用反弹shell实现提权.

32.png
先使用远程连接将自己和目标机的8500端口连接,再使用msf生成漏洞
33.png
利用漏洞实现后渗透提权
34.png
拿到root权限后,找到flag=e3deb1287916235061bb6c4f22e7404f,到网站提交即可。

本在寒假就打完,并写了word,一直被耽搁到现在才发出来,刚刚看了一下,平台已经停用“大使”这个靶场了,不过在本次渗透中,一些渗透思路对我这个菜鸟还是受益良多。

版权属于:青鸟丹心
本文链接: https://www.wqqstudy.top/index.php/archives/18/
作品采用:本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
0
查看目录

目录

来自 《kali中hack the box 实战记录一》
评论

青鸟丹心

因为无知,所以求知
12 文章数
0 评论量
5 分类数
12 页面数
已在风雨中度过 1年205天4小时7分
可能感兴趣
关于中间件冲突引起的血案
2022-11-08
kali 中proxychains4代理实现
2023-01-18
关于搜题的有趣小程序
2022-10-18