0%

HackTheBox-Nineveh

OSCP like

1
hydra -l none -P /opt/useful/SecLists/Passwords/Leaked-Databases/rockyou.txt 10.129.25.30 -s 443 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect password" -t 64 -V

20210411-17:52:28-_0pihpv_ETrmo9

登陆上phpliteadmin,利用可以自定义后缀的漏洞,能创建任意php脚本。但是创建的文件位置在/var/tmp/下,不在web目录下,不能直接利用,需要借助文件包含什么的。
20210411-23:53:53-_eVWBCb_E4LQvr

1
hydra -l admin -P /opt/useful/SecLists/Passwords/Leaked-Databases/rockyou.txt 10.129.25.30 -s 80 http-post-form "/department/login.php:username=^USER^password=^PASS^:Invalid Password!" -t 64 -V

20210411-22:23:51-_eKB1KM_A1HGMQ

登陆后,发现notes好像存在文件包含。
20210411-23:51:44-_yAS2cD_p3z6lm

最后成功包含,被包含的文件要包含NinevehNotes字符。

20210411-22:30:52-_xE7RN5_Tm4xGj

20210411-22:58:00-_zrwjQt_vDecbR

发现根目录下有个/report/目录,里面有文件report-21-04-11:10:23.txt看了下文件内容,判断是chkrookit创建的。存在漏洞Chkrootkit 0.49 - Local Privilege Escalation

创建一个文件/tmp/update,给执行权限。

20210411-23:30:12-_T0khRL_u5b15O

20210411-23:27:04-_54p6FE_6MJ5K3