该靶机nmap扫描udp发现161端口snmp服务,利用snmpwalk扫描得到目录信息,使用dirsearch扫描得到一个yml文件,存放数据库账号密码,记录下来,此时需要登录口,使用字典扫描拼接/app目录,得到登录界面,利用版本号搜索默认凭证,找到一个用户,MD5解密hex值,ssh登录,sudo -l 发现mosh,查找利用方式,设置环境变量,然后执行登录

一台现役靶机

一、信息收集

靶机ip:10.10.11.48

攻击机ip:10.10.16.26

nmap扫描,发现服务是Apache/2.4.52 (Ubuntu)

先设置域名解析

echo "10.10.11.48 underpass.htb" |sudo tee -a /etc/hosts

执行UDP扫描

nmap -sU -sV -Pn 10.10.11.48

得到的信息如下,开着snmp服务

PORT     STATE         SERVICE

161/udp  open          snmp

1812/udp open|filtered radius

1813/udp open|filtered radacct

目录扫描

没有泄露目录

子域名扫描

利用ffuf扫描均未发现可用信息

ffuf -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt:FUZZ -u "http://underpass.htb/FUZZ" -ic

ffuf -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt:FFUZ -H "Host: FFUZ.underpass.htb" -u http://underpass.htb -fw 20

没有可用信息

二、边界突破

访问80端口,是一个apache2的配置信息,ubuntu系统

这里查看源码以及指纹信息均未发现泄露的信息,只能重新扫描靶机了

使用snmpwalk执行扫描,关键信息:daloradius

猜测其是目录,拼接进行扫描

目录如下

/daloradius/.gitignore

/daloradius/app

/daloradius/ChangeLog

/daloradius/doc  ->  http://10.10.11.48/daloradius/doc/

/daloradius/Dockerfile

/daloradius/docker-compose.yml

/daloradius/library  ->  http://10.10.11.48/daloradius/library/

/daloradius/LICENSE

/daloradius/README.md

/daloradius/setup  ->  http://10.10.11.48/daloradius/setup/

访问第一个目录,发现一个配置文件,但是无法访问

docker-compose.yml 文件里发现数据库的账户密码

如下,这个时候应该找找有没有登录点,这几个目录均没有,重新扫描/app目录

database:radius

user:radius

passswd:radiusdbpw

扫出来一个登录界面

daloradius/app/users/login.php

一个登录界面,使用上面的账户密码不成功

换一个字典重新扫描,得到一个新目录

dirsearch -u http://10.10.11.48/daloradius/app/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e*

http://10.10.11.48/daloradius/app/operators/login.php

一个登录界面,先尝试上面的账户密码不成功,发现下面有版本号

发现默认用户名administrator和密码radius

成功登录

在config里有个语言可以修改,先换成中文

发现一个用户名和密码

如下

用户名:svcMosh

密码:412DD4759978ACFCC81DEAB01B382403

在该网站识别,拿到密码:underwaterfriends

ssh连接

三、权限提升

user.txt

该目录下存放user.txt,成功查看

root.txt

sudo -l查看,发现一处可执行路径

/usr/bin/mosh-server

执行一下看看,看不懂

查看suid

查找上面发现的可执行路径,参考文章

https://www.cnblogs.com/sunweiye/p/12003616.html

方法如下

重新查看

找到上面的密钥:NnSZo0rz1vdi7bRzX4Hn4g

export MOSH_KEY=NnSZo0rz1vdi7bRzX4Hn4g

mosh-client 127.0.0.1 60001 #这里应该连接的是靶机ip,因为是在靶机里执行,直接连接其本地ip

成功登录,拿到root.txt

结束

四、总结

snmpwalk扫描:

dirsearch字典扫描:

mosh登录:

HTB-UnderPass的更多相关文章

  1. 使用 IMQ+HTB+iptable 统一流量控制心得

    IMQ 是中介队列设备的简称,是一个虚拟的网卡设备,与物理网卡不同的是,通过它可以进行全局的流量整形,不需要一个网卡一个网卡地限速.这对有多个ISP接入的情况特别方便.配合 Iptables,可以非常 ...

  2. Optimizing shaper — hashing filters (HTB)

    I have a very nice shaper in my linux box :-) How the configurator works — it’s another question, he ...

  3. TC HTB r2q

    HTB: quantum of class 10001 is big. Consider r2q change. 根据HTB的官方文档显示,quantum是在可以“借”的情况下,一次可以“借”多少,并 ...

  4. Trafic control 大框图(HTB )

    10.1. General diagram Below is a general diagram of the relationships of the components of a classfu ...

  5. HTB Linux queuing discipline manual - user guide笔记

    1. Introduction HTB is meant as a more understandable, intuitive and faster replacement for the CBQ ...

  6. ROS HTB限速失败原因分析和需注意事项

    要想做限速,必须要知道以下几点: 首先要知道自己要限制什么的速度,谁的速度,于是需要用的标记,即Mangle. 其次要知道怎么限速,是限制上传,还是下载? 最后要知道所做的限速是否成功,即需要知道如何 ...

  7. HTB::OpenAdmin

    实验环境 渗透过程 0x01 信息搜集 sudo nmap -sS -p1-10000 -sV -sC -T4 10.10.10.171 开放了22(SSH)端口和80(HTTP)端口 访问80端口, ...

  8. 【HTB系列】靶机Frolic的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...

  9. 【HTB系列】靶机Access的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...

  10. 【HTB系列】靶机Chaos的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress ...

随机推荐

  1. c++:-8

    上一节学习了C++的STL库和范型:c++:-7,本节学习c++的输入输出和流类库. I/O流 (1)程序与外界环境的信息交换 当程序与外界环境进行信息交换时,存在着两个对象:程序中的对象.文件对象. ...

  2. 第三届全国高校计算机能力挑战赛-C

    单项选择题 1.题 (3.0分) 以下叙述正确的是().  A.在C程序,至少要包含一个库函数  B.C程序的一行可以写多条语句  C.对一个C程序进行编译就可以生成可执行文件  D.C程序中的注释只 ...

  3. 阿里云开启ssl证书过程记录 NGINX

    作者简介:大家好,我是思无邪,2024 毕业生,某厂 Go 开发工程师.. 我的网站:https://www.yishanicode.top/ ,持续更新,希望对你有帮助. 如果文章或网站知识点有错误 ...

  4. flutter设置导航栏顶部标题与组件Text和Center和Container详解

    无状态组件和有状态组件的介绍 StatelessWidget 是无状态组件,状态是不可以改变的 StatefulWidget 是有状态组件 持有的状态可能在 widge 生命周期中改变 Statele ...

  5. .net 通过 HttpClient 下载文件同时报告进度的方法

    通过 HttpClient 的 ContentLength 很多时候都可以拿到下载的内容的长度,通过 ReadAsync 可以返回当前读到的长度,将读取到的长度加起来就是已经下载的长度 看起来很简单, ...

  6. 安全可信 | 天翼云自研密钥管理系统(KMS)获得《商用密码产品认证证书》!

    近日,天翼云自研密钥管理系统(KMS)通过国家密码管理局安全性审查,符合GM/T 0051<密码设备管理 对称密钥管理技术规范>要求,获得由国家密码管理局商用密码检测中心颁发的<商用 ...

  7. pip安装MySQLdb报错mysql_config not found

    报错EnvironmentError: mysql_config not found解决方法 1.sudo apt-get install python-setuptools 2.sudo apt-g ...

  8. Luogu P1613 跑路 题解 [ 蓝 ] [ 倍增 ] [ Floyd 最短路 ] [ 状压 dp ]

    跑路:绝佳倍增好题,思路是化 \(2^k\) 为 \(1\) ,倍增起预处理作用. 最近不知道是撞了什么运,前一脚看的是绿题,写完之后交一发,发现直接被 lxl 升蓝了,血赚. 思路:Floyd 首先 ...

  9. windows jdk环境变量配置

    新建环境变量[classpath]变量值为[.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar] 新建环境变量[JAVA_HOME]变量值为jdk的安装目录 如:[ ...

  10. PKUWC2025 游记

    哈哈哈哈哈,我糖完了,哈哈哈哈哈. Day \(-998244353\) 被波波抓到机房充军集训去了,听到了很多新奇的算法,然后拼尽全力仍难以 \(AC\)--然后被各种巨佬疯狂单调队列. Day \ ...