HackTheBox-Linux-Europa

靶机地址：https://www.hackthebox.eu/home/machines/profile/27

靶机难度：中级（4.5/10）

靶机发布日期：2017年10月5日

靶机描述：

Europa can present a bit of a challenge, or can be quite easy, depending on if you know what to look for. While it does not require many steps to complete, it provides a great learning experience in several fairly uncommon enumeration techniques and attack vectors.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.22....

Nmap发现OpenSSH和Apache服务开放着...该服务器支持HTTPS/SSL....

还发现存在DNS..将它们先添加到hosts....

http和https访问都会显示默认的Ubuntu Apache安装页面....

通过前面nmap发现的域名，直接访问...进入到email的登陆页面...

通过收集信息，查看了凭证，获得了email账号信息...

通过默认密码，无法登陆...

这里利用了burpsuit进行注入分析，对于账号和密码进行了简单的注入...发现账号可利用注入...

通过简单的OR 1 成功登录....

拦截注入进入了主页面...

在查看模块TOOLs后，这是一个Openvpn的链接配置...这里是非常熟悉的，连接靶机都需要这个...

/ip_address/和ipaddress引起我的注意，这里看起来存在正则表达式的注入方式...

利用burpsuit进入页面后，似乎将所有出现的ip_address替换为用户指定的字符串，通过使用Burpsuite检查POST数据，似乎可以在客户端设置正则表达式...(shift+ctrl+U).....

通过阅读上面文章，利用文章提示的正则表达式的字符串E，成功注入并获得了查看的权限....

直接利用curl和管道符执行上传的所有php即可获得反向外壳...

成功通过提权获得了user的flag信息...

通过上传LinEnum枚举靶机所有系统信息，发现www目录下存在clearlogs程序是root权限执行在此用户下...

查看该文件配置，该文件会在30~60秒之间执行一次www/cmd/logcleared.sh文件，查看cmd目录下无此文件，只需要在本地写入简单的shell，上传到cmd目录下...

通过创建logcleared.sh写入简单的shell后，可看到经过上传等待了几十秒时间后，程序成功执行了logcleared，并获得了反向shell......

通过root权限成功获得了root的flag信息....

最近linux都是利用burpsuit分析注入，以及提权后利用LinEnum工具枚举，不是程序root，就是缓冲区溢出...已经成为常态...评分给予中级的评价...在我这儿感觉越来越简单了....

加油吧，每次都是累积....

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。