[Hack The Box]靶机2 Backdoor

Posted 2022-11-27 huamanggg

nmap先嗦一把，开了22端口、80端口和1337端口

访问是一个wordpress博客网站

wpscan扫一下
版本是5.8.1

再看看网站，这里会跳转backdoor.htb，配置一下hosts

echo 10.10.11.125 backdoor.htb >> /etc/hosts

扫一下目录

这里有目录遍历

这里有一个eBook-download的插件
在readme里面看到版本信息，找找看有没有什么漏洞

版本好像是1.1

的确有漏洞，任意文件下载

拿到一个数据库的账号密码

wordpressuser   MQYBJSaD#DxG6qbm

看这密码就觉得有鬼，应该是想让我们连数据库
这里还有一个1337端口没用，但是不知道是什么服务，而本地文件包含有一个用法是

/proc/[PID]/cmdline

所以我们可以进行这样的爆破，把正在运行的进程爆破出来，找到了开启了1337端口的服务，是gdbserver

gdbserber有一个rce的漏洞，链接
Metasploit有gbdserver的模块

use exploit/multi/gdb/gdb_server_exec

配置好信息，默认是x86的，要换一个payload成x64的

成功拿到shell，拿下用户权限

msf的shell太不稳定了，再手动弹一个

先用python弄一个交互shell，再反弹到kali里面
然后开一个python服务把linpeas传上去打

跑一下，是有一个CVE-2021-4034

跑了一下没跑出来，再找找思路
查看一下进程

ps -elf

发现除了gdbserver还有一个screen，都是root开的

screen有一个提权操作

screen是Linux窗口管理器，用户可以建立多个screen会话，每个screen会话又可以建立多个window窗口，每一个窗口就像一个可操作的真实的ssh终端一样。
使用文档：https://linux.die.net/man/1/screen

我们可以通过使用-x参数来进入到root的session中，直接设置TREM变量为xterm即可：

export TERM=xterm

然后再切入root的session：

screen -r root/root

这样就可以获得root权限