【Hack The Box】linux练习-- Poison

HTB 学习笔记

【Hack The Box】linux练习-- Poison

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月11日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

文章目录

• HTB 学习笔记
• • 信息收集
  • ssh登陆
  • • • vnc提权

信息收集

22/tcp open  ssh     OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)| ssh-hosTKEy: |   2048 e33b7d3c8f4b8cf9cd7fd23ace2dffbb (RSA)|   256 4ce8c602bdfc83ffc98001547d228172 (ECDSA)|_  256 0b8fd57185901385618beb34135f943b (ED25519)80/tcp open  Http    Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)|_http-title: Site doesn't have a title (text/html; charset=UTF-8).|_http-server-header: Apache/2.4.29 (FreeBSD) php/5.6.32No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

80页面长这样
在listfiles.php这个文件中发现了编码，经过13次解码，得到一个密码
Charix!2#4%6&8(0

感觉有lfi

果然有，并且得知了两个用户
没有复制，这里就自己看吧，uid大于等于1000的
有了lfi，也有之前界面上说的phpinfo.php
众所周知：lfi加phpinfo=rce
并且支持上传文件

https://GitHub.com/roughiz/lfito_rce
这里脚本出了点问题，先直接ssh登陆了

ssh登陆

ssh用刚才的那个密码，另一个非root用户
发现了一个压缩包
传回本地打开（scp）
密码与ssh登陆密码一致
基于ssh的scp文件传输

scp charix@10.10.10.84:secret.zip .

vnc提权

ps -aux发现了vnc我们也可以通过发现本地开放的端口来识别出vnc因为他通常开放在5800或5900通过linpeas.sh的方式

vnc “Xvnc” 正在以 root 身份运行。 VNC 是一个与 RDP 非常相似的远程服务应用程序。 它通常在端口 5900 或 5800 上运行。

而他在本地开放，我们利用ssh端口转发

ssh端口转发```clike127.0.0.1:5901 是目标主机-L 5901 是自己端口ssh -L 5901:127.0.0.1:5901 charix@10.129.1.254 

vncviewer -passwd secret localhost:5904secret 是已经获得的密码文件并且要提前将端口转发出来（一般都是本地的服务）

来源地址：https://blog.csdn.net/weixin_65527369/article/details/127787857