【Hack The Box】linux练习-- Poison

HTB 学习笔记

【Hack The Box】linux练习-- Poison

---

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月11日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

信息收集

22/tcp open  ssh     OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)
| ssh-hostkey: 
|   2048 e33b7d3c8f4b8cf9cd7fd23ace2dffbb (RSA)
|   256 4ce8c602bdfc83ffc98001547d228172 (ECDSA)
|_  256 0b8fd57185901385618beb34135f943b (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

1
2
3
4
5
6
7
8
9
10

80页面长这样
在listfiles.php这个文件中发现了编码，经过13次解码，得到一个密码
Charix!2#4%6&8(0

感觉有lfi

果然有，并且得知了两个用户
没有复制，这里就自己看吧，uid大于等于1000的
有了lfi，也有之前界面上说的phpinfo.php
众所周知：lfi加phpinfo=rce
并且支持上传文件

https://github.com/roughiz/lfito_rce
这里脚本出了点问题，先直接ssh登陆了

ssh登陆

ssh用刚才的那个密码，另一个非root用户
发现了一个压缩包
传回本地打开（scp）
密码与ssh登陆密码一致
基于ssh的scp文件传输

scp charix@10.10.10.84:secret.zip .
1

vnc提权

ps -aux
发现了vnc

我们也可以通过发现本地开放的端口来识别出vnc因为他通常开放在5800或5900
通过linpeas.sh的方式
1
2
3
4
5

vnc “Xvnc” 正在以 root 身份运行。 VNC 是一个与 RDP 非常相似的远程服务应用程序。 它通常在端口 5900 或 5800 上运行。

而他在本地开放，我们利用ssh端口转发

ssh端口转发

```clike
127.0.0.1:5901 是目标主机
-L 5901 是自己端口
ssh -L 5901:127.0.0.1:5901 charix@10.129.1.254 
1
2
3
4
5
6

vncviewer -passwd secret localhost:5904
secret 是已经获得的密码文件
并且要提前将端口转发出来（一般都是本地的服务）
1
2
3