HackTheBox-Linux-Hawk-Walkthrough

靶機地址：https://www.hackthebox.eu/home/machines/profile/146
靶機難度：中級（4.2/10）
靶機發布日期：2018年11月25日
靶機描述：
Hawk is a medium to hard difficulty machine, which provides excellent practice in pentesting Drupal. The exploitable H2 DBMS installation is also realistic as web-based SQL consoles (RavenDB etc.) are found in many environments. The OpenSSL decryption challenge increases the difficulty of this machine.

作者：大餘
時間：2020-06-15

請注意：對於所有這些計算機，我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

一、信息收集

可以看到靶機的IP是10.10.10.102…

Nmap發現FTP可以匿名訪問，開放了ssh，80端口的apache服務，8082端口上提供了H2數據庫控制檯…

登陸FTP匿名訪問，發現了隱藏文件…下載

這是base64值…
命令：

base64 -d drupal.txt > drupal_decoded.txt.enc
openssl aes-256-cbc -d -in drupal_decoded.txt.enc -out drupal1.txt -k friends
openssl enc -d -aes256 -in drupal_decoded.txt.enc -k friends

這裏我利用base64轉換後，file發現是openssl…
需要利用bruteforce-salted-openssl工具進行爆破…
記得該工具默認使用AES-256-CBC…成功爆破獲得了密碼…

web頁面…框架drupal CMS

利用獲得了密碼成功登陸…這裏需要進入modules板塊中開啓php filter模塊

開啓php filter模塊，打勾啓用…

直接利用簡單的shell提權即可…選擇剛啓用的PHP code

成功獲得了反向外殼…

枚舉了一段時間，在目錄底層發現了ssh登陸的密碼…這裏枚舉需要數據庫知識，不然也是大海撈針

利用密碼登陸ssh，獲得了user_flag信息…

和nmap枚舉信息一致，開放了8082，這是前面nmap就發現的H2…

測試訪問，發現遠程連接已禁用了，需要ssh流量做個隧道，在本地鏈接即可…

命令：ssh -L 8080:127.0.0.1:8082 [email protected]
成功轉發…

直接在本地訪問…成功進入

將test改爲root即可進入root 數據庫中…

直接可以訪問控制檯了…

這裏搜索下google Abusing H2 Database ALIAS 很多例子都會教如何在H2上獲得shell…

命令：CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.next() : ""; }$$;
意思就是創建了一個執行Java代碼函數…

然後通過調用創建的函數來執行系統命令，成功查看了ID…

那就繼續利用調用的函數，直接上傳shell，提權即可…

成功上傳…

賦權

成功獲得了root權限外殼，並獲得了root_flag信息…