HACKTHEBOX通关笔记——Poison(退役)

调试网络连通性

拿到IP我们还是做一下nmap扫描,快速速率扫描结合-A详细扫描,事半功倍

nmap --rate-min 5000 -p- 10.129.58.204 -v

nmap -A -p 22,80 10.129.58.204 -v

HACKTHEBOX通关笔记——Poison(退役)_第1张图片

发现http是一个可以读取文件的页面

HACKTHEBOX通关笔记——Poison(退役)_第2张图片

这台主机似乎没办法做目录扫描,一扫就断网,只好一个一个查看这些php文件了,php.ini中发现上传和打开权限开启,文件包含权限关闭

HACKTHEBOX通关笔记——Poison(退役)_第3张图片

看文件时候发现里边有一个pwdbackup.txt,打开看一下像是base64加密的文件。同时还看到是file读取文件,于是尝试一手目录穿越../../../../../etc/passwd,发现有洞,并且打开密码文件看了一下,尝试解密。

HACKTHEBOX通关笔记——Poison(退役)_第4张图片

这里翻译一下密码备份文件就是密码很安全,加密了13次,看到后边是==,猜想是base64加密,因此搞了个脚本,直接破解十三次

HACKTHEBOX通关笔记——Poison(退役)_第5张图片

HACKTHEBOX通关笔记——Poison(退役)_第6张图片

HACKTHEBOX通关笔记——Poison(退役)_第7张图片

#!/bin/bash
# 检查1.txt是否存在
if [ -e "1.txt" ]; then
    # 删除1.txt中的空格和回车
    sed -i 's/[[:space:]]//g' 1.txt
    # 读取1.txt中的内容
    content=$(cat 1.txt)
    # 连续解码13次
    for ((i=1; i<=13; i++)); do
        content=$(echo "$content" | base64 -d)
    done
    # 将结果保存为2.txt
    echo "$content" > 2.txt
    echo "脚本执行完成"
else
    echo "错误:1.txt不存在"
fi

HACKTHEBOX通关笔记——Poison(退役)_第8张图片

解密得:Charix!2#4%6&8(0,结合上边etc/passwd目录中的charix用户,又因为开了22端口,可以ssh登录进去。

通过ssh登录,拿到flag,继而发现有个secret.zip,但是解密需要密码。

HACKTHEBOX通关笔记——Poison(退役)_第9张图片

HACKTHEBOX通关笔记——Poison(退役)_第10张图片

接下来继续看看其他可用信息,通过ps -aux,我们发现有开vnc服务

我们把secret.zip拿出来,发现需要密码,尝试用Charix!2#4%6&8(0

解密,发现可以解开并且拿到了密码文件secret,这个文件可能是vnc的远程密码文件

结合刚刚发现的vnc服务,我们尝试远程连接发现连接不上: vncviewer -passwd secret 10.10.14.253:5901 ,这时候我看了一下poison靶机监听端口发现他是本地监听所以无法远程访问,ps:5801、5901是vnc默认端口

HACKTHEBOX通关笔记——Poison(退役)_第11张图片

转发内网端口到服务器或者自己的kali都可以,只要自己访问的到:

ssh -L 5901:127.0.0.1:5901 [email protected]

通过ssh将目标主机的5901转发到自己的5901上,然后就可以在本地访问了

vncviewer -passwd secret 127.0.0.1::5901 ,然后拿到root flag

HACKTHEBOX通关笔记——Poison(退役)_第12张图片

你可能感兴趣的:(笔记)