Skip to content

Latest commit

 

History

History
212 lines (107 loc) · 10.7 KB

HackTheBox-Linux-Shrek.md

File metadata and controls

212 lines (107 loc) · 10.7 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 113 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/58

靶机难度:中级(0.0/10)

靶机发布日期:2017 年 10 月 19 日

靶机描述:

Shrek, while not the most realistic machine, touches on many different subjects and is definitely one of the more challenging machines on Hack The Box. This machine features several fairly uncommon topics and requires a fair bit of research to complete.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.47....

nmap 发现开放了 ssh、ftp、apache 服务...

访问 web 没发有用的信息...

简单测试 robot 等目录... 存在 uploads... 里面很多熟悉的 php、elf、aspx 等文件,都是 shellcode 可写入的文件...

对于 update 也存在该目录... 里面存在文件上传功能,但是无法获得 shellcode... 一个坑

将文件全部下载后,检查发现 secret_ultimate.php 文件内容中提到了隐藏目录 secret_area_51/....

可以访问... 存在文件

查看发现是个音频文件... 前几章也做过类似的文件内容破解密匙...

利用 audacity 工具对音频文件进行播放,在 Calamity 也遇到过类似的音频解密,前面一直没获得有用的信息... 继续找下看

设置高频...

在音频图中发现了一串密匙信息...(隐藏真深)

通过密匙提示,发现是用户 + 密码...

通过 nmap 提示 FTP 和 ssh,测试 FTP 成功登录....

又发现了一大堆文件....

全部下载到本地分析....

首先一个 key 是 ssh 的 RSA 密匙凭证... 这肯定又需要 ssh 登录了... 这里需要找到密码....

通过 cat *.txt 查看所有的文本信息.... 有四处存在无字符空格现象....

查看后发现这是 base64 值.... 空字符只是区分的意思...

编译后发现了一连串的字符... 又要解密了....

这里遇到过一次在 vulnhub... 这是椭圆曲线密码术算法...

https://github.com/bwesterb/py-seccure

google 搜索,可以看到利用 python seccure 可解密次字符串....

按照方法安装....

import seccure

dayu =
seccure.decrypt(dayu, b"PrinceCharming")

成功解密... 获得了 user 和 passwd 信息....

通过 ssh 服务成功登录... 获得了 user_flag 信息....

上传 LinEnum.sh 枚举靶机信息... 这里发现 / use/bin/vi 可提权到 farquad 用户,提权后存在一个二进制 mirror 程序... 是个兔子洞... 无法提权 root...

find / -type f -newermt 2017-08-20 ! -newermt 2017-08-24 -ls 2>/dev/null

通过查看靶机上线时间后几天的操作信息... 发现 thoughts.txt 存在引用字符漏洞??

创建个文件夹,简单测试,经过几分钟发现从 user 变成了 nobody 权限....

这类似的漏洞也遇到过,是通配符漏洞....

https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt

通过 google 查看到这篇文章...nobody 权限漏洞利用方法...

创建文件 --reference=thoughts.txt,该目录内的所有文件将获得 root 执行权限,就像 thoughts.txt 由 root 拥有一样...

创建文件 --reference=thoughts.txt,并写入 shellcode 程序... 编译后输出二进制文件设置为 setuid...

可看到当船舰 reference 后,dayu 文件夹经过几分钟变成了 root 权限... 等待几分钟....

通过时间推移,dayu1 二进制程序获得了 root 权限... 执行该程序...

获得了 root 权限,并获得 root_flag 信息....

信息收集 + 隐藏目录音频文件破译 + FTP_base64 值破译 + 椭圆曲线密码破译 + 通配符漏洞提权

由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号