**
HackTheBox-Linux-Hawk-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/146
靶机难度:中级(4.2/10)
靶机发布日期:2018年11月25日
靶机描述:
Hawk is a medium to hard difficulty machine, which provides excellent practice in pentesting Drupal. The exploitable H2 DBMS installation is also realistic as web-based SQL consoles (RavenDB etc.) are found in many environments. The OpenSSL decryption challenge increases the difficulty of this machine.
作者:大余
时间:2020-06-15
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.102…
Nmap发现FTP可以匿名访问,开放了ssh,80端口的apache服务,8082端口上提供了H2数据库控制台…
登陆FTP匿名访问,发现了隐藏文件…下载
这是base64值…
命令:
base64 -d drupal.txt > drupal_decoded.txt.enc
openssl aes-256-cbc -d -in drupal_decoded.txt.enc -out drupal1.txt -k friends
openssl enc -d -aes256 -in drupal_decoded.txt.enc -k friends
这里我利用base64转换后,file发现是openssl…
需要利用bruteforce-salted-openssl工具进行爆破…
记得该工具默认使用AES-256-CBC…成功爆破获得了密码…
web页面…框架drupal CMS
利用获得了密码成功登陆…这里需要进入modules板块中开启php filter模块
开启php filter模块,打勾启用…
直接利用简单的shell提权即可…选择刚启用的PHP code
成功获得了反向外壳…
枚举了一段时间,在目录底层发现了ssh登陆的密码…这里枚举需要数据库知识,不然也是大海捞针
利用密码登陆ssh,获得了user_flag信息…
和nmap枚举信息一致,开放了8082,这是前面nmap就发现的H2…
测试访问,发现远程连接已禁用了,需要ssh流量做个隧道,在本地链接即可…
命令:ssh -L 8080:127.0.0.1:8082 daniel@10.10.10.102
成功转发…
直接在本地访问…成功进入
将test改为root即可进入root 数据库中…
直接可以访问控制台了…
这里搜索下google Abusing H2 Database ALIAS 很多例子都会教如何在H2上获得shell…
命令:CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.next() : ""; }$$;
意思就是创建了一个执行Java代码函数…
然后通过调用创建的函数来执行系统命令,成功查看了ID…
那就继续利用调用的函数,直接上传shell,提权即可…
成功上传…
赋权
成功获得了root权限外壳,并获得了root_flag信息…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。