白袍的小行星

Hack The Box 通关记录3

字数统计: 1k阅读时长: 4 min
2020/07/02 Share

上班干活的间隙打一打,顺便记录一下。

Blocky

前几天我还纳闷,怎么全是win看不到Linux机器,后来发现自己的Filters只选了Windows,漏了好几个机器啊,补上补上。

端口:

Nmap scan report for 10.10.10.37
Host is up (0.23s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.5a
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
8192/tcp closed sophos

21端口尝试用anonymous用户访问,无果,看到80是个wordpress的框架,扫描一波。

扫描器给出了版本是4.7,就再去找了下能用的洞,发现有用户名泄露、密码重置等等。

泄露一个用户:

扫目录扫到一个plugins目录,但是进去啥都没有,黑乎乎的,就去看了wp,可能是网络原因,这里本来放着两个jar包的下载链接。

下载BlockyCore.jar,解压后使用jad反编译class文件:

拿这个密码和之前得到的账户去ssh登录即可得到普通用户。

看到普通用户目录下有个我的世界目录,整挺好。

执行sudo -l可以看到当前用户能用sudo执行哪些命令:

居然是ALL,那直接sudo cat /root/root.txt就行了。

Mirai

端口:

Host is up (0.19s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0)
53/tcp open domain dnsmasq 2.76
80/tcp open http lighttpd 1.4.35
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

访问80出现了404,再看53有DNS,就知道老套路了,把mirai.htb加进hosts里,再访问mirai.htb即可,烂活。

结果一打开是个这玩意:

尝试了下XFF头伪造,发现不行,页面源代码里看到了有admin目录,进去一看是:

谷歌了一下,原来是个用树莓派拦截广告的东西,看了下安装教程,这个系统的密码是随机生成的,破解不了,但是树莓派是有默认密码的啊,尝试登陆:

用户名:pi
密码:raspberry

成功得到普通用户,直接sudo -l,发现和上个一样,难道这么简单?

还是我太年轻了:

看看机器上有哪些USB设备:

看样子就是这个了,结果又证明了我还是太年轻:

尝试用几个恢复工具去恢复,但是都安装不了,看到wp上用的是strings命令:

sudo strings /dev/sdb

Shocker

端口:

Nmap scan report for bogon (10.10.10.56)
Host is up (0.30s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
2222/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)

80端口只有一张图片,扫目录扫到了/cgi-bin/,谷歌了一下,可能有Bash的远程命令执行,就是破壳漏洞。

wget -qO- -U "() { :;}; echo Content-Type: text/html; echo; echo; /usr/bin/id" http://10.10.10.56/cgi-bin/user.sh

直接反弹shell,普通用户有了。

执行sudo -l,看到这个:

用这个读取root.txt即可。

Bashed

端口只有80,在这个页面看到:

作者说他在这台服务器上开发的phpbash,那只要找到就能使了,目录在/dev,得到普通用户。

sudo -l

我们可以使用scriptmanager用户来sudo,不需要密码。

根目录下有个/scripts文件夹是此用户权限的,点进去一看:

内容上看,test.py在往test.txt里写入,但是后者是root所有,所以前者必须用root运行才能写入成功。

那我们往脚本里写一个反弹shell的内容,等root一执行权限自然就到手了,靶机上肯定是定时任务实现的。

Nibbles

开了22和80,80访问只有个Hello World,源代码里看到目录提示,访问后看到了nibbleblog,搜了一下exp,有文件上传,但是需要用户名和密码,爆破得到admin:nibbles,利用得到shell.

用户目录下有个压缩包,里面是个.sh文件,sudo -l

把反弹shell的命令写入/home/nibbler/personal/stuff/monitor.sh,再sudo执行即可。

CATALOG
  1. 1. Blocky
  2. 2. Mirai
  3. 3. Shocker
  4. 4. Bashed
  5. 5. Nibbles