HackTheBox-Linux-Shrek-Walkthrough

靶機地址：https://www.hackthebox.eu/home/machines/profile/58
靶機難度：中級（0.0/10）
靶機發布日期：2017年10月19日
靶機描述：
Shrek, while not the most realistic machine, touches on many different subjects and is definitely one of the more challenging machines on Hack The Box. This machine features several fairly uncommon topics and requires a fair bit of research to complete.

作者：大餘
時間：2020-05-25

請注意：對於所有這些計算機，我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

一、信息收集

可以看到靶機的IP是10.10.10.47…

nmap發現開放了ssh、ftp、apache服務…

訪問web沒發有用的信息…

簡單測試robot等目錄…存在uploads…裏面很多熟悉的php、elf、aspx等文件，都是shellcode可寫入的文件…
對於update也存在該目錄…裏面存在文件上傳功能，但是無法獲得shellcode…一個坑

將文件全部下載後，檢查發現secret_ultimate.php文件內容中提到了隱藏目錄 secret_area_51/…

可以訪問…存在文件

查看發現是個音頻文件…前幾章也做過類似的文件內容破解密匙…

利用audacity工具對音頻文件進行播放，在Calamity也遇到過類似的音頻解密，前面一直沒獲得有用的信息…繼續找下看

設置高頻…

在音頻圖中發現了一串密匙信息…（隱藏真深）

通過密匙提示，發現是用戶+密碼…
通過nmap提示FTP和ssh，測試FTP成功登錄…
又發現了一大堆文件…

全部下載到本地分析…

首先一個key是ssh的RSA密匙憑證…這肯定又需要ssh登錄了…這裏需要找到密碼…

通過cat *.txt查看所有的文本信息…有四處存在無字符空格現象…
查看後發現這是base64值…空字符只是區分的意思…

編譯後發現了一連串的字符…又要解密了…
這裏遇到過一次在vulnhub…這是橢圓曲線密碼術算法…

https://github.com/bwesterb/py-seccure
google搜索，可以看到利用python seccure可解密次字符串…

按照方法安裝…

import seccure
dayu =
seccure.decrypt(dayu, b"PrinceCharming")

成功解密…獲得了user和passwd信息…

通過ssh服務成功登錄…獲得了user_flag信息…

上傳LinEnum.sh枚舉靶機信息…這裏發現/use/bin/vi可提權到farquad用戶，提權後存在一個二進制mirror程序…是個兔子洞…無法提權root…

命令：find / -type f -newermt 2017-08-20 ! -newermt 2017-08-24 -ls 2>/dev/null
通過查看靶機上線時間後幾天的操作信息…發現thoughts.txt存在引用字符漏洞？？

創建個文件夾，簡單測試，經過幾分鐘發現從user變成了nobody權限…
這類似的漏洞也遇到過，是通配符漏洞…

https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
通過google查看到這篇文章…nobody權限漏洞利用方法…
創建文件–reference=thoughts.txt，該目錄內的所有文件將獲得root執行權限，就像thoughts.txt由root擁有一樣…