Hack The Box Vault Writeup

1.10.10.10.109端口80有web服务,提示存在网站sparklays

sparklays

2.目录爆破发现上传漏洞,利用php5后缀可以轻松绕过获得shell,检查使用shell的路径在http://10.10.10.109/sparklays/design/uploads/4444.php5
上传漏洞

3.在/home/dave/Desktop目录下发现多个可以文件,一个是key密钥,后面解密会用到;二是Servers,其中包括了ip到主机的对应,说明存在网段192.168.122.X;三是ssh登录口令,dave:Dav3therav3123。
线索文件

4.对192.168.122.4进行扫描,发现开放有80、22端口,做ssh本地转发访问web服务
ssh -L 1080:192.168.122.4:80 dave@10.10.10.109
192.168.122.4上的web服务

5.对网站目录进行fuzz可以发现notes目录,其中包含两个文件,123.ovpn较关键,内容如下,修改回连ip后在vpnconfig.php页面粘贴运行,并在ubuntu主机上启动nc监听,可以拿到root@DNS的shell,在 /home/dave 目录中可以拿到user.txt
DNS shell

6.继续搜索主机,在/var/log/auth.log中可以发现登录192.168.5.2的方法!。在/home/dave目录下可以发现另一组登录凭据:dave dav3gerous567
登录日志

7.首先运行 setsid ncat -l 8888 --sh-exec "ncat 192.168.5.2 987 --source-port=4444" 让本地8888端口于远程987端口建立转发,并通过ssh dave@localhost -p 8888登录目标,获取一个普通用户权限shell
本地转发登录主机

8.在主机上发现一处敏感文件/home/dave/root.txt.gpg,显然最后的flag经过加密,而我们在第三步已经获取了key,可以用于解密,那么需要做的就是拷贝回来,因此在DNS主机上运行scp -P 5555 dave@localhost:/home/dave/root.txt.gpg /tmp,最后拷贝回ubuntu主机scp dave@192.168.122.4:/tmp/root.txt.gpg /tmp
9.利用key里的密钥解密获得root flag
root

推荐阅读更多精彩内容