HackTheBox-Linux-Hawk

靶机地址：https://www.hackthebox.eu/home/machines/profile/146

靶机难度：中级（4.2/10）

靶机发布日期：2018年11月25日

靶机描述：

Hawk is a medium to hard difficulty machine, which provides excellent practice in pentesting Drupal. The exploitable H2 DBMS installation is also realistic as web-based SQL consoles (RavenDB etc.) are found in many environments. The OpenSSL decryption challenge increases the difficulty of this machine.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.102..

Nmap发现FTP可以匿名访问，开放了ssh，80端口的apache服务，8082端口上提供了H2数据库控制台...

登陆FTP匿名访问，发现了隐藏文件....下载

这是base64值...

base64 -d drupal.txt > drupal_decoded.txt.encopenssl aes-256-cbc -d -in drupal_decoded.txt.enc -out drupal1.txt -k friendsopenssl enc -d -aes256 -in drupal_decoded.txt.enc -k friends

这里我利用base64转换后，file发现是openssl...

需要利用bruteforce-salted-openssl工具进行爆破...

记得该工具默认使用AES-256-CBC...成功爆破获得了密码...

web页面...框架drupal CMS

利用获得了密码成功登陆...这里需要进入modules板块中开启php filter模块

开启php filter模块，打勾启用...

直接利用简单的shell提权即可...选择刚启用的PHP code

成功获得了反向外壳...

枚举了一段时间，在目录底层发现了ssh登陆的密码....这里枚举需要数据库知识，不然也是大海捞针

利用密码登陆ssh，获得了user_flag信息...

和nmap枚举信息一致，开放了8082，这是前面nmap就发现的H2...

测试访问，发现远程连接已禁用了，需要ssh流量做个隧道，在本地链接即可...

ssh -L 8080:127.0.0.1:8082 daniel@10.10.10.102

成功转发...

直接在本地访问...成功进入

将test改为root即可进入root 数据库中...

直接可以访问控制台了...

这里搜索下google Abusing H2 Database ALIAS 很多例子都会教如何在H2上获得shell...

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\A"); return s.hasNext() ? s.next() : "";  }$$;

意思就是创建了一个执行Java代码函数...

然后通过调用创建的函数来执行系统命令，成功查看了ID...

那就继续利用调用的函数，直接上传shell，提权即可...

成功上传...

赋权

成功获得了root权限外壳，并获得了root_flag信息....

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。