**
HackTheBox-Linux-Vault-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/161
靶機難度:中級(4.0/10)
靶機發布日期:2019年4月3日
靶機描述:
Vault is medium to hard difficulty machine, which requires bypassing host and file upload restrictions, tunneling, creating malicious OpenVPN configuration files and PGP decryption.
作者:大餘
時間:2020-06-23
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.109…
nmap僅發現開放了apache和ssh服務…
這裏提示了Sparklays信息…我猜測是目錄或者用戶名…
嘗試爆破發現是目錄信息…存在/desig等目錄信息…
根據爆破獲得的信息,正常訪問
點擊進去後,這是個文件上傳的頁面…文件上傳漏洞利用
隨意上傳個簡單的php_shell發現格式名稱不對…
經過多次嘗試,需要.php5後綴名稱纔可成功上傳…
通過簡單的shell,獲得了反向外殼…
這裏提示下,文件上傳是其中爆破出來的一個目錄,還有另外的登錄用戶的頁面和別的頁面,都存在兔子洞,坑是挺多的…
進來後發現dave用戶桌面下存放着三個文件…都是重要信息,兩個密碼…一個服務存在的現狀IP…
查看了ssh密碼,登錄即可…
ssh登錄進來後,發現存在虛擬網橋接口…192.168.122.1
查看本地存在的一些端口,是虛擬網橋開放的22和80端口…
這裏熟悉的技術,利用SSH把流量轉發到本地即可…
然後通過本地訪問網橋IP開放的web服務…DNS和VPN,這裏存在DNS設備和VPN鏈接情況…
DNS訪問404報錯…
VPN頁面可以輸入,google看看
google openvpn reverse shell發現一些shell提權的文章,利用看看…
修改後…靶機監聽即可
通過openvpn shell成功進入了root_DNS用戶權限下…查看根目錄發現了一些文件…
獲得了user_flag信息…
這裏可以知道本環境IP192.168.122.4…
回看下前面發現的三個文件中servers網絡情況…裏面標註了,DNS是.4的IP,還存在防火牆是.5的IP,說明.1的IP到.4的IP之間有臺防火牆串聯着,IP是.5…
繼續查看路由情況,是添加了條192.168.5.0的路由…
看看本地域名…存在Vault域名:192.168.5.2…
發現此環境安裝了nmap,對192.168.5.2掃描了端口情況…存在53和4444的潛在端口…
重新理清下思路…
情況是這樣的,看圖即可…
需要繞過FW進入5.2環境…還是需要SSH或者流量等轉發技術…
將4444作爲源端口,利用nmap繞過防火牆並找到另一個開放端口…987
當然,在查看歷史記錄日誌裏,也發現了該操作…他是利用ncat生成偵聽器進行連接…
我們也利用ncat偵聽器進行生成,該偵聽器在更改源端口時重定向到端口987…
然後利用ssh成功登錄…並查看到了root.txt.pgp文件…pgp格式下,在5.2環境裏無法查看…
查看了三個環境下,在最初的dave@ubuntu:10.10.10.109環境下,可以使用gpg…當然本地也可以…
由於5.2環境無法使用base64…這裏利用scp將文件傳回到DNS環境…
通過base64進行復制文件即可…
轉儲…
放回dave@ubuntu:10.10.10.109環境下後,利用gpg -d成功獲得了root_flag信息…
目錄爆破–文件上傳–ssh流量轉發–openvpn漏洞利用–nmap繞過防火牆掃描–ncat端口轉發–scp文件傳輸和base64文件傳輸–gpg獲得root_flag
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺中級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。
