Linux/Traceback

Linux/Traceback_第1张图片

Enumeration

nmap

使用nmap初步扫描发现只开放了22和80端口,端口详细扫描情况如下

Linux/Traceback_第2张图片

先看看web是什么样子的,打开网站发现有一条留言,显示该站点已经被黑了, 并且留下了后门

Linux/Traceback_第3张图片

查看源代码,可以看到下面的注释

应该是留下了一个后门,要想法办找到它,目录扫描也没有发现什么东西,在google中搜索注释中的那句话,然后找到一个githubLinux/Traceback_第4张图片

在里面又发现了一些webshell

Linux/Traceback_第5张图片

Reverse Shell

将这些webshell的名字写入一个字典,然后使用目录扫描工具来爆破目录即可完成要求

Linux/Traceback_第6张图片

可以看到/smevk.php是存在的,访问该路径发现一个登录表单

Linux/Traceback_第7张图片

在github页面搜索,可以看到用户名和密码都是admin

成功登录后,可以看到如下页面,页面中有各种选项

Linux/Traceback_第8张图片

在左下角有执行系统命令的功能,尝试反弹shell

先使用nc -e并没有成功,然后在https://www.revshells.com/网站中一个一个试吧,总有一个能得到shell

Linux/Traceback_第9张图片

Lateral Movement

当前只是webadmin用户,用户目录下有以下内容

Linux/Traceback_第10张图片

打开note.txt,发现了这个,显示黑客留下了一个工具

Linux/Traceback_第11张图片

然后使用sudo -l进一步发现webadmin不需要密码可以以sysadmin身份执行命令 luvit

Linux/Traceback_第12张图片

搜索luvit时得到以下结果,应该是一个可以执行lua代码的工具

Linux/Traceback_第13张图片

刚刚发现webadmin目录下还有.bash_history,记录了黑客执行过的一些命令

Linux/Traceback_第14张图片

执行以下命令

echo "require('os');" > priv.lua echo "os.execute('/bin/bash');" >> priv.lua

然后用luvit执行priv.lua,然后就得到了sysadmin的shell

然后去sysadmin目录下拿到flag即可

Privilege Escalation

引导模式的任务7是问以ssh登录时他会打印什么东西,那我们必须想办法以ssh 连接目标,可以直接使用 ssh-keygen 在本地生成ssh凭据,选择默认即可 然后复制id_rsa.pub的内容到authorized_keys中

接下来就可以使用ssh连接目标了

Linux/Traceback_第15张图片

使用pspy监控计划作业,利用python在本地开启http服务,然后在目标下载

Linux/Traceback_第16张图片

下载后添加执行权限,然后运行该程序,即可监控系统运行的进程

Linux/Traceback_第17张图片

工具显示结果如下

Linux/Traceback_第18张图片

该目录中显示文件如下

Linux/Traceback_第19张图片

打开其中一个文件查看,可以看到是使用ssh登录时,打印出来的欢迎信息

首先在本地开启监听,然后将反弹shell脚本写入00-header,关闭ssh,再重新连接即可得到root shell

Linux/Traceback_第20张图片

你可能感兴趣的:(HackTheBox,网络安全,web安全)