Sense

靶机简介

靶机地址：https://app.hackthebox.com/machines/111
靶机难度：easy
靶机发布时间：22 Oct 2017
靶机简介：Sense是一个已经retired的机器，枚举是这个盒子中的一个重要因素，虽然简单但是需要大量的耐心，所以请确保您不会忽视任何东西！

请注意：

本文仅用于技术讨论与研究，文中的实现方法切勿应用在任何违法场景。如因涉嫌违法造成的一切不良影响，本公众号及作者概不负责。

0x01 信息收集

1、靶机ip

10.10.10.60

2、端口与服务

nmap -sC -sV -Pn -O -oA initial 10.10.10.60

• -sC: 运行默认nmap脚本

• -sV: 检测服务版本

• -O: 检测操作系统

-oA: 输出保存在namp文件夹中
可以看到以下扫描结果：

• 80端口：http服务

• 443端口：https服务

80端口会跳转到443端口。

0x02 漏洞探测与利用
80/443端口：

显示网页是pfSense的登录界面。pfSense是一个开源防火墙，因此在枚举过程中要更加小心。如果我们做任何非常可疑的事情（例如暴力攻击），可能会受到防火墙的阻止，之后的尝试将毫无用处。
1、枚举目录：

gobuster -u https://10.10.10.60/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e

检查了所有目录，它们要么是404，要么重定向回登录页面。考虑使用-x选项来查找特定的文件扩展名。例如.php, .txt, .sh, .bak等扩展。

gobuster -u https://10.10.10.60/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e -x txt

找到两个txt文件，分别是-changelog.txt和system-users.txt，打开看一下：
意思是2/3的漏洞已经修复。
pfsense的默认用户名和密码是：admin/pfsense
所以这里找到一个用户名及密码：
rohit/pfsense

2、登录后台
可以看到版本号：

Version 	2.1.3-RELEASE (amd64)  
built on Thu May 01 15:52:13 EDT 2014  
FreeBSD 8.3-RELEASE-p16
Unable to check for updates.

在google上搜索该版本号的漏洞利用：

发现pfsense<2.1.4版本有一个命令注入漏洞，将代码保存为exploit.py

用法：

usage: exploit.py [-h] [--rhost RHOST] [--lhost LHOST] [--lport LPORT]
                  [--username USERNAME] [--password PASSWORD]

可以获取root权限。
user flag：
root flag：