HackTheBox-Linux-Shrek-Walkthrough

靶机地址：https://www.hackthebox.eu/home/machines/profile/58
靶机难度：中级（0.0/10）
靶机发布日期：2017年10月19日
靶机描述：
Shrek, while not the most realistic machine, touches on many different subjects and is definitely one of the more challenging machines on Hack The Box. This machine features several fairly uncommon topics and requires a fair bit of research to complete.

作者：大余
时间：2020-05-25

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.47…

nmap发现开放了ssh、ftp、apache服务…

访问web没发有用的信息…

简单测试robot等目录…存在uploads…里面很多熟悉的php、elf、aspx等文件，都是shellcode可写入的文件…
对于update也存在该目录…里面存在文件上传功能，但是无法获得shellcode…一个坑

将文件全部下载后，检查发现secret_ultimate.php文件内容中提到了隐藏目录 secret_area_51/…

可以访问…存在文件

查看发现是个音频文件…前几章也做过类似的文件内容破解密匙…

利用audacity工具对音频文件进行播放，在Calamity也遇到过类似的音频解密，前面一直没获得有用的信息…继续找下看

设置高频…

在音频图中发现了一串密匙信息…（隐藏真深）

通过密匙提示，发现是用户+密码…
通过nmap提示FTP和ssh，测试FTP成功登录…
又发现了一大堆文件…

全部下载到本地分析…

首先一个key是ssh的RSA密匙凭证…这肯定又需要ssh登录了…这里需要找到密码…

通过cat *.txt查看所有的文本信息…有四处存在无字符空格现象…
查看后发现这是base64值…空字符只是区分的意思…

编译后发现了一连串的字符…又要解密了…
这里遇到过一次在vulnhub…这是椭圆曲线密码术算法…

https://github.com/bwesterb/py-seccure
google搜索，可以看到利用python seccure可解密次字符串…

按照方法安装…

import seccure
dayu =
seccure.decrypt(dayu, b"PrinceCharming")

成功解密…获得了user和passwd信息…

通过ssh服务成功登录…获得了user_flag信息…

上传LinEnum.sh枚举靶机信息…这里发现/use/bin/vi可提权到farquad用户，提权后存在一个二进制mirror程序…是个兔子洞…无法提权root…

命令：find / -type f -newermt 2017-08-20 ! -newermt 2017-08-24 -ls 2>/dev/null
通过查看靶机上线时间后几天的操作信息…发现thoughts.txt存在引用字符漏洞？？

创建个文件夹，简单测试，经过几分钟发现从user变成了nobody权限…
这类似的漏洞也遇到过，是通配符漏洞…

https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
通过google查看到这篇文章…nobody权限漏洞利用方法…
创建文件–reference=thoughts.txt，该目录内的所有文件将获得root执行权限，就像thoughts.txt由root拥有一样…