HTB-UnderPass

H轨迹H2025-04-09 22:49

该靶机nmap扫描udp发现161端口snmp服务,利用snmpwalk扫描得到目录信息,使用dirsearch扫描得到一个yml文件,存放数据库账号密码,记录下来,此时需要登录口,使用字典扫描拼接/app目录,得到登录界面,利用版本号搜索默认凭证,找到一个用户,MD5解密hex值,ssh登录,sudo -l 发现mosh,查找利用方式,设置环境变量,然后执行登录

一台现役靶机

一、信息收集

靶机ip:10.10.11.48

攻击机ip:10.10.16.26

nmap扫描,发现服务是Apache/2.4.52 (Ubuntu)

先设置域名解析

bash 复制代码 
echo "10.10.11.48 underpass.htb" |sudo tee -a /etc/hosts

执行UDP扫描

bash 复制代码 
nmap -sU -sV -Pn 10.10.11.48

得到的信息如下,开着snmp服务

php 复制代码 
PORT     STATE         SERVICE
161/udp  open          snmp
1812/udp open|filtered radius
1813/udp open|filtered radacct

目录扫描

没有泄露目录

子域名扫描

利用ffuf扫描均未发现可用信息

bash 复制代码 
ffuf -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt:FUZZ -u "http://underpass.htb/FUZZ" -ic
ffuf -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt:FFUZ -H "Host: FFUZ.underpass.htb" -u http://underpass.htb -fw 20

没有可用信息

二、边界突破

访问80端口,是一个apache2的配置信息,ubuntu系统

这里查看源码以及指纹信息均未发现泄露的信息,只能重新扫描靶机了

使用snmpwalk 执行扫描,关键信息:daloradius

猜测其是目录,拼接进行扫描

目录如下

php 复制代码 
/daloradius/.gitignore    
/daloradius/app 
/daloradius/ChangeLog                             
/daloradius/doc  ->  http://10.10.11.48/daloradius/doc/
/daloradius/Dockerfile                            
/daloradius/docker-compose.yml                    
/daloradius/library  ->  http://10.10.11.48/daloradius/library/
/daloradius/LICENSE                               
/daloradius/README.md                             
/daloradius/setup  ->  http://10.10.11.48/daloradius/setup/

访问第一个目录,发现一个配置文件,但是无法访问

docker-compose.yml 文件里发现数据库的账户密码

如下,这个时候应该找找有没有登录点,这几个目录均没有,重新扫描**/app**目录

php 复制代码 
database:radius
user:radius
passswd:radiusdbpw

扫出来一个登录界面

php 复制代码 
daloradius/app/users/login.php

一个登录界面,使用上面的账户密码不成功

换一个字典重新扫描,得到一个新目录

php 复制代码 
dirsearch -u http://10.10.11.48/daloradius/app/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e*
http://10.10.11.48/daloradius/app/operators/login.php

一个登录界面,先尝试上面的账户密码不成功,发现下面有版本号

发现默认用户名administrator 和密码radius

成功登录

在config里有个语言可以修改,先换成中文

发现一个用户名和密码

如下

php 复制代码 
用户名:svcMosh
密码:412DD4759978ACFCC81DEAB01B382403

在该网站识别,拿到密码:underwaterfriends

ssh连接

三、权限提升

user.txt

该目录下存放user.txt,成功查看

root.txt

sudo -l查看,发现一处可执行路径

bash 复制代码 
/usr/bin/mosh-server

执行一下看看,看不懂

查看suid

查找上面发现的可执行路径,参考文章

bash 复制代码 
https://www.cnblogs.com/sunweiye/p/12003616.html

方法如下

重新查看

找到上面的密钥:NnSZo0rz1vdi7bRzX4Hn4g

bash 复制代码 
export MOSH_KEY=NnSZo0rz1vdi7bRzX4Hn4g
mosh-client 127.0.0.1 60001 #这里应该连接的是靶机ip,因为是在靶机里执行,直接连接其本地ip

成功登录,拿到root.txt

结束

四、总结

snmpwalk扫描:

dirsearch字典扫描:

mosh登录:

相关推荐
Chengbei119 分钟前
面向红队的 AI 赋能全场景流量分析仪 网页 / APP / 终端 / IoT 全域 HTTPS 抓包解密利器
人工智能·物联网·网络协议·web安全·网络安全·https·系统安全
网络安全许木1 小时前
自学渗透测试第29天(Linux SUID/SGID基础实验)
linux·运维·服务器·web安全·渗透测试
菩提小狗1 小时前
每日安全情报报告 · 2026-04-29
网络安全·漏洞·cve·安全情报·每日安全
FORCECON13 小时前
力控船舶智能运营,机舱监控IEWS/能效管理IEES/网络安全IACS,软硬件一体化解决方案
网络安全·scada·船舶·能效管理·机舱监控
合天网安实验室14 小时前
记录一个免杀的php webshell demo
渗透测试·php·webshell·免杀
漠月瑾-西安16 小时前
软件忘了“擦黑板”:一次内核信息泄露事件(CVE-2024-49997)的深度剖析
网络安全·linux内核·内核安全·信息泄露·内存安全·cve漏洞分析
枷锁—sha1 天前
【CTFshow-pwn系列】03_栈溢出【pwn 073】详解:静态编译下的自动化 ROP 链构建
网络·汇编·笔记·安全·网络安全·自动化
treesforest1 天前
IP查询接口调用完全指南:从入门到企业级实战
大数据·网络·安全·网络安全·ip
网络安全许木1 天前
自学渗透测试第28天(协议补漏与FTP抓包)
运维·服务器·网络安全·渗透测试·php
其实防守也摸鱼1 天前
《SQL注入进阶实验:基于sqli-Labs的报错注入(Error-Based Injection)实战解析》
网络·数据库·sql·安全·网络安全·sql注入·报错注入
热门推荐
01GitHub 镜像站点022026年4月AI大事件深度解读:大模型竞争进入“深水区“03近期有什么ai的新消息,新动态? 2026.4月04Codex 接入 DeepSeek API 完整配置文档05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09裂开!ChatGPT 居然开始要手机号验证,附详细解决方法10零基础教你claude code 接入 deepseek V4