HackTheBox-Linux-Scavenger

靶机地址：https://www.hackthebox.eu/home/machines/profile/202

靶机难度：中级（3.7/10）

靶机发布日期：2019年12月23日

靶机描述：

Scavenger is a hard difficulty Linux machine running various services such as DNS, SMTP, Whois etc. The whois service is found to be vulnerable to SQL injection, exploitation of which reveals vhosts. The vhosts are enumerated to find a hidden PHP backdoor, which is used to execute code on the server. A forward shell is used to gain access to FTP credentials, resulting in access to a compromised user account. The user's home profile contains a hidden rootkit, which is decompiled. The information gained from this is used to elevate to a root shell.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.155...

我这里利用Masscan快速的扫描出了21，22，43，53，80端口，在利用nmap详细的扫描了这些端口情况..看图即可

浏览到端口80，可看到这是个错误的消息...ERROR

80上也没什么可利用的信息...

枚举43端口...

发现了虚拟主机www.supersechosting.htb，将此虚拟主机添加到/etc/hosts中...

这次服务器返回一个名为SuperSecHosting的网站，服务器提供网络托管服务以及DNS和whois，将此虚拟主机提供给whois服务看看...

可看到它返回了一些有关服务器的通用信息，但意义不大，它的服务器可能使用SQL查询以便从MariaDB服务器检索数据，尝试sql注入来检查是否容易受到攻击...

whois -h 10.10.10.155 -p 43 "') union select group_concat(domain), 2 from customers-- -"

whois看看...利用了常见的SQL注入测试...

服务器返回了三个新的虚拟主机：www.justanotherblog.htb，www.pwnhats.htb，www.rentahacker.htb，将它们添加到hosts文件并继续枚举...

www.pwnhats.htb网站是在PrestaShop上运行的在线商店，卖帽子的....

www.rentahacker.htb虚拟主机是提供黑客服务的网站....

网站只有一个帖子，意思提供出售的黑客服务...

在单个帖子上有3条评论：有人声称自己已经入侵了该网站这一事实确实很有趣...

另外在每个页面的底部，可看到这是一个wordpress网站...并附属rentahacker.htb.....

利用dig枚举附属的页面看看能枚举到什么DNS域名吗...

获得了虚拟主机名为sec03.rentahacker.htb，继续将此添加到/etc/hosts..继续浏览

和前面三条评论对话反馈的一样，确认此虚拟主机已被黑客入侵...

在sec03虚拟主机上运行了dirb进行目录爆破...枚举的结果很多PHP文件...其中最吸引的是shell.php？？？ 

浏览到/index.php会将页面重定向到Mantis Bug Tracker软件的登录页面....这里是个坑，我是没找到相关的EXP漏洞....

访问shell.php是个空白页面??

这可能是黑客为了重新获得对服务器的访问而留下的后门吧...

如果猜测是后门，我利用Wfuzz进行了信息枚举...一下就发现了hidden....

执行后，发现这果然是黑客们留下来的后门....

该后门shell程序在名为ib01c03的用户下执行，继续进一步检查iptables规则/etc/iptables/rules.v4...

规则设置为拒绝除发起的连接外的任何入站和出站连接， 意味着无法从盒子中获得反向外壳....

虽然不能获得反向外壳，经过长时间的在页面上枚举，发现了mail下存在邮件信息...

可看到枚举获得了用户名密码....

namp发现开饭了ftp服务的...

利用用户名密码登录...目前靶机存在两个用户...

在ib03中获得了三个文件信息...一个日志，一个流量包，一个文本....下载

成功下载到本地，开始分析...

文本提示了，网络捕获包含攻击者用来入侵服务器的凭据....好好分析下流量包吧，里面包含了凭证信息...

果然，流量包不大，几分钟时间就枚举到了其中存在的用户名是邮箱地址，还有密码...

以及一串登录页面URL...

可看到ftp登录进去，获得了user_flag信息....

访问流量包获得了页面URL，这是一个登陆页面，且是用邮箱作为用户名登录...

这里可以利用用户名密码登录...里面是PrestaShop 1.7.4.4版本框架搭设的服务页面...存在SSH漏洞，可写入shell提反向外壳...这里不演示了...很简单...主要我网络一到晚上就卡，登录每次操作都要等3分钟左右，闹心....

继续分析流量包，发现了root.c文件流量信息....进一步分析...

#define  DEVICE_NAME "ttyR0" #define  CLASS_NAME  "ttyR"

magic[] = "g0tR0ot"....

可看到我查看了TCP流量包针对root.c的信息...

其中copy_from_user方法将输入数据复制到名为data的缓冲区中，然后将其与使用memcmp方法的字符串g0tR0ot进行了比较，如果输入与此字符串匹配的话，就会将用户的信息结构修改为root权限，并提升其外壳权限... 

这可以通过向设备输入g0tR0ot来获得root访问权限...

如果这里用g0tR0ot字符串写入dev/ttyR0是不生效的，是因为字符串不符合条件...需要找到头部字符串...

g3tPr1vH

可看到将获得的head_g3tPr1v输入到/dev/ttyR0，获得了root权限....

那简单了，直接cat获得了root_flag信息...

这儿肯定是可以获得shell外壳的...我没研究下去了...太晚了，现在快凌晨一点了，休息吧...加油

中规中矩的靶机，其中很多乐趣都因为今天太累没深入研究...

可以写EXP在hidden，以shell外壳形式枚举信息是会更快的...没写，还是从URL进行了枚举...懒

可以在PrestaShop 1.7.4.4框架中深入研究下，可能有意想不到的漏洞，目前只提权了id03用户外壳...主要因为太卡太慢...

可以在最后利用Burpsuit进行注入，利用base64也好，进制转换shell也好，绕过机制，获得反向外壳root权限...这样还能在root里面遨游下继续枚举看看有什么别的有趣的信息....URL说实话只是为了完成任务...加油吧

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。