**
HackTheBox-Linux-Frolic-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/158
靶機難度:中級(2.4/10)
靶機發布日期:2019年3月23日
靶機描述:
Frolic is not overly challenging, however a great deal of enumeration is required due to the amount of services and content running on the machine. The privilege escalation features an easy difficulty return-oriented programming (ROP) exploitation challenge, and is a great learning experience for beginners.
作者:大餘
時間:2020-06-19
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.111…
nmap發現開放了挺多端口,這裏只有9999端口有意義…開始
訪問9999是個nginx頁面…一般包含用戶名登錄…爆破
發現了admin和dev目錄…
這是一個登錄表單的用戶界面…
查看前段源碼發現了腳本login.js…
在腳本login.js發現了success.html頁面…
這是OOK的密碼編譯…
解密獲得了另一個目錄…
目錄中是base64值密碼…
繼續轉換,查看文件類型是.zip…
命令:fcrackzip -D -p rockyou.txt -u dayu.zip
zip解壓需要密碼…直接利用fcrackzip爆破了密碼…
解壓後獲得文件,繼續查看又是密碼學…
這是hex decoder的密碼…繼續google找到破解的在線頁面…獲得了base64值…
轉儲後發現…這又是一串密碼…吐了
繼續丟到google,這是一串brainfuck密碼學語言…繼續編譯獲得了一串字符,這應該是密碼了…
登錄表單頁面沒法登錄…
繼續對另外一個dev目錄進行爆破,發現了backup頁面…
該頁面提示了另外一個目錄…playsms…這是一個框架??
登錄果然是playsms框架的頁面…
利用前面密碼轉換獲得的字符,成功登錄…admin
二、提權
利用MSF提權
由於這是playsms框架,應該存在漏洞…利用試試
MSF發現了幾個漏洞EXP…
我這裏利用了exploit/multi/http/playsms_uploadcsv_exec…簡單配置…
獲得了www權限…並獲得了user_flag信息…
通過suid檢查枚舉,發現了在ayush目錄下存在rop二進制文件…下載到本地
通過檢查,緩衝區溢出提權了…這裏直接快速過了,遇到緩衝區溢出是最簡單的題目了…
直接獲得偏移量…52
目前權限不能使用gdp,我要獲得system和exit值,利用readelf獲得…
ldd rop獲得了libc地址…
還差/bin/sh地址即可…
利用strings獲得了/bin/sh地址爲15ba0b…
通過+換算下…最終獲得了:
system: 0xb7e19000 + 0x0003ada0 = 0xB7E53DA0
exit: 0xb7e19000 + 0x0002e9d0 = 0xB7E479D0
"/bin/sh": 0xb7e19000 + 0x15ba0b = 0xB7F74A0B
本來直接想寫入提權,發現不行…我還是寫了python腳本…只能通過base64值轉換上傳了…
執行後獲得了shell外殼root權限…獲得了root_flag信息…
密碼學信息收集–playsms漏洞EXP提權—緩衝區溢出提權
常規操作…密碼學那塊也很簡單,直接複製密碼到google會有提示…然後提示關鍵術語搜索在線破譯網頁,放進去就行…不怕你看不懂,就怕google都看不懂…
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺中級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。
