HackTheBox-Linux-Hawk-Walkthrough

靶机地址：https://www.hackthebox.eu/home/machines/profile/146
靶机难度：中级（4.2/10）
靶机发布日期：2018年11月25日
靶机描述：
Hawk is a medium to hard difficulty machine, which provides excellent practice in pentesting Drupal. The exploitable H2 DBMS installation is also realistic as web-based SQL consoles (RavenDB etc.) are found in many environments. The OpenSSL decryption challenge increases the difficulty of this machine.

作者：大余
时间：2020-06-15

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.102…

Nmap发现FTP可以匿名访问，开放了ssh，80端口的apache服务，8082端口上提供了H2数据库控制台…

登陆FTP匿名访问，发现了隐藏文件…下载

这是base64值…
命令：

base64 -d drupal.txt > drupal_decoded.txt.enc
openssl aes-256-cbc -d -in drupal_decoded.txt.enc -out drupal1.txt -k friends
openssl enc -d -aes256 -in drupal_decoded.txt.enc -k friends

这里我利用base64转换后，file发现是openssl…
需要利用bruteforce-salted-openssl工具进行爆破…
记得该工具默认使用AES-256-CBC…成功爆破获得了密码…

web页面…框架drupal CMS

利用获得了密码成功登陆…这里需要进入modules板块中开启php filter模块

开启php filter模块，打勾启用…

直接利用简单的shell提权即可…选择刚启用的PHP code

成功获得了反向外壳…

枚举了一段时间，在目录底层发现了ssh登陆的密码…这里枚举需要数据库知识，不然也是大海捞针

利用密码登陆ssh，获得了user_flag信息…

和nmap枚举信息一致，开放了8082，这是前面nmap就发现的H2…

测试访问，发现远程连接已禁用了，需要ssh流量做个隧道，在本地链接即可…

命令：ssh -L 8080:127.0.0.1:8082 [email protected]
成功转发…

直接在本地访问…成功进入

将test改为root即可进入root 数据库中…

直接可以访问控制台了…

这里搜索下google Abusing H2 Database ALIAS 很多例子都会教如何在H2上获得shell…

命令：CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.next() : ""; }$$;
意思就是创建了一个执行Java代码函数…

然后通过调用创建的函数来执行系统命令，成功查看了ID…

那就继续利用调用的函数，直接上传shell，提权即可…

成功上传…

赋权

成功获得了root权限外壳，并获得了root_flag信息…