HTB-Machine-Popcorn

admin·2022-06-10·4136 次阅读

0x00.前言

。

0x01.信息收集

nmap -sC -sV 10.10.10.6
nmap -p- -min-rate 1000 10.10.10.6

0x02.文件上传拿低权限shell

80端口在工作，如下：

扫目录，如下：

feroxbuster -u http://10.10.10.6/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

进入/torrent，

找到历史漏洞，如下：

有一个文件上传漏洞，描述如下：

需要先注册一个用户（admin123/admin123），如下：

然后用其提供的文件上传功能，上传一个torrent后缀的文件，

接着浏览这个文件的详细页面，点击Edit this torrent后会弹出一个页面，在其中允许上传Screenshot，也就是一张图片，如下：

但在这里可以绕过，服务端检测文件类型的方式仅通过Content-Type字段来确定，只要上传文件时将字段内容修改为image/png即可绕过过滤，如下：

上传后点击访问图片即可在本地收到一个反弹shell，如下：

0x03.内核提权

先获取一个tty，

python2 -c 'import pty;pty.spawn("/bin/bash")'

查看内核版本，如下：

可以使用脏牛提权，本地起一个http服务器将exp传到目标机器的/tmp上，然后编译并给运行权限，

gcc -pthread 40839.c -o 40839exp -lcrypt
chmod +x 40839exp
./40839exp

修改好root密码后，用su切换到用户firefart（利用完成后root用户名被替换为了firefart），如下：

0x04.总结

中规中矩的一台机器。

参考文章：

https://medium.com/@fularam.prajapati/hack-the-box-popcorn-walkthrough-writeup-oscp-60dda6e326b2

https://infosecwriteups.com/hackthebox-popcorn-f1ace3de846d

HTB-Machine-Jarvis

PG-Readys

Author

admin

查看评论 - NOTHING

Comments | NOTHING

暂无评论

取消回复

Markdown Supported while Forbidden

你是我一生只会遇见一次的惊喜 ...

戳我试试 OωO 嘿嘿嘿ヾ(≧∇≦*)ゝ

bilibili~	(=・ω・=)	Tieba

白海鸥

切换主题 | SCHEME TOOL