**
HackTheBox-Linux-Curling-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/160
靶機難度:初級(4.7/10)
靶機發布日期:2019年5月8日
靶機描述:
Curling is an Easy difficulty Linux box which requires a fair amount of enumeration. The password is saved in a file on the web root. The username can be download through a post on the CMS which allows a login. Modifying the php template gives a shell. Finding a hex dump and reversing it gives a user shell. On enumerating running processes a cron is discovered which can be exploited for root.
作者:大餘
時間:2020-06-22
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.150…
nmap僅發現ssh和apache服務開放…
訪問80端口,遇到了一個Joomla網站…
這裏主要獲得了Floris用戶名信息…
在前段源碼對於上面的用戶名話語,查找到了secret文本信息存在…
這是base64值,解析獲得了密碼…
爆破目錄獲得了administrator頁面…這是登錄頁面
思路都是先信息收集獲得用戶名密碼,然後找登錄頁面即可…
成功登錄管理面板…文件上傳或者編寫shell…開始
很簡單,找到路徑,編寫php,把shell寫進去,生成shell.php即可…
這裏文件路徑上面有提示…訪問執行即可
二、提權
執行後,獲得了反向外殼…無法查看flag信息
枚舉用戶目錄下,發現這是hex dump文件,複製到本地…
通過xxd轉儲後,這是一系列的轉換包的過程…
通過最後file的提示,獲得了password信息…
密碼直接SSH登錄,獲得了user_flag信息…
pyps觀察進程發現了該目錄下存在執行的文件…
一直以root權限循環執行者訪問…
通過curl,輸出到report中,這裏可以使用file讀取到root信息…
簡單修改,獲得了root_flag信息…
對於靶機,獲得flag已經獲勝,這裏有N種方法可以獲得root信息…我就列舉了三種典型的…開始吧
方法1:
獲取SSH密匙…
命令:file:///etc/ssh/ssh_host_rsa_key
成功獲得了root_ssh_key密匙…
直接通過ssh登陸即可…
方法2:
利用本地文件寫入shell提權
獲得root權限
方法3:
利用dirty_sock提權…
獲得了root權限…
還有很多方法,因爲權限放開很大…感興趣的可以慢慢玩…
簡單的靶機,提示也很明顯…
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺初級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。