kali中hack the box 实战记录一

简介：hack the box，是一个国内外hack交流学习平台，能许多大神交流合作，你能从中深入学习到有用的渗透知识，并在靶场验证自己的实力。
（我只是小虾米，连菜鸟都算不上，本次贴子仅仅是记录学习过程，如有错误，希望大佬嘴下留情）

本次实战，靶场为“大使”

目标：拿到目标主机IP为10.10.14.86的最高权限

准备阶段

1.在kali中下载官方提供的openvpn，并启动

检查一下是否运行

可以看到tun0 已经正常运行

信息收集阶段

1.使用nmap -sS 10.10.11.183 //快速扫描开放端口,当然如果能用proxychains nmap -sS 10.10.11.183最好（挂代理，再扫描）

能发现存在22、80、3000、3306端口。从中可以看到主机提供网页服务http是80端口，3306端口是mysql默认端口，能远程连接数据库

2.先访问一下各个端口，看是否留下隐藏信息

目标机80端口提供网页：

翻译一下：
最近的帖子
欢迎来到大使发展服务器
大家好!这个服务器为Ambassador的开发人员提供了一个独立的开发环境。当你开始时作为Ambassador的开发人员，您将被分配一个自己使用的开发服务器。连接到此机器使用将开发人员帐户转到SSH,DevOps会给你密码。
阅读更多

得到一个重要信息，22端口账号为DevOps，

kali中尝试用hydra暴力破解一下：ssh: hydra -L users.txt -P password.txt -vV -o ssh.log -e ns 10.10.11.183 ssh

跑了很久，也没结果。推测为强密码，先去看看其他端口。

3306端口

在此端口的网页服务中，能找到当前使用的系统版本号：8.0.30ubuntu的系统和他mysql数据库的信息，再看看3000端口的服务

3000端口

可以看到3000端口为一个网页服务，攻击方向有：输入框暴力破解、sql注入、EXP漏洞利用、top10等
本次选择EXP漏洞，经查询其存在任意读取文件漏洞

漏洞利用

1.由于我没用过Grafana，百度一下它的exp漏洞，看看能否有相应版本的漏洞能利用

百度后得知其有一个任意读取文件漏洞

2.在kali中用burpsuite尝试一下playload重放攻击

查证后，发现确实有读取漏洞，下一步尝试读取它数据库文件，已知3306端口的mysql数据库也为3000端口的Grafana页面提供服务，猜测Grafana数据库中也存储着3306端口的账号密码。

3.
利用任意读取文件漏洞，读取其数据库文件，发现太长，并且有乱码，从中发现原本提供服务的数据库软件为sqlite。

4.于是，先使用kali下载当前数据库文件再使用自带的sqlite查询，使用curl下载命令脱库

使用sqlite查询数据库

查询其中user数据库，得到一个md5加密字符

经检验，查询不到，为强密码，再想想，一般网页暂存数据库，将真正3306的服务放置在
data_source中，试试

得到账号为grafana和明文密码dontStandSoCloseToMe63221!

尝试进行登录

成功侵入他的数据库，先查询一下有用数据

数据库

仅可以查到这几个表单，我这才意识到并不是root权限，先进去看看，grafana这个表单没有东西，inf、mysql、per、sys都是建库自带的文件，抛开这几个，剩下一个whackywidget的表单是用户自己的

得到一个账号为developer和以base64加密的密文YW5FbmdsaXNoTWFuSW5OZXdZb3JrMDI3NDY4Cg==
将得到的密文解密一下.

解密得到密码：anEnglishManInNewYork027468，联合之前在80端口页面得到的信息可知

ssh账号为developer，密码为：anEnglishManInNewYork027468

成功登录他的系统

可以看到已经在目标机的内部了，下面将实现提权

提权
先了解一下目标环境

可以看出他系统的一些配置和开放端口，尝试提权进一步控制他的电脑

找到一个user.txt不知道有什么用，解密一下，也没解出来，先放着吧。
想了想先去系统默认安装软件的地方，看看有没有直接调取root权限的第三方软件，尝试控制它

在这一层级中发现.git日志，查看该日志文件

拿到了他的token:bb03b43b-1d81-d62b-24b5-39540ee469b5

仔细找找，找到他还使用consul，专门去查找了一下，发现存在consul远程命令执行漏洞，能间接实现提权

先打开kali自带的msf，查询一下他远程命令执行漏洞

是第一个，那么就使用第一个

先show options查询一下使用该漏洞的需求是什么

可以看出要目标主机IP、目标8500端口、8080监听端口、目标主机号等

由于需要目标机在外网只有22、3000、3306、80这几个端口，不能直接打到目标，所有需要端口转发8500端口，实现我本地主机的8500端口与他的8500端口中间连通隧道，再使用msf生成的远程命令执行漏洞，打自己的8500端口就等同于打他的8500.
我这里是用的8500端口转发，实现msf中EXP漏洞利用反弹shell实现提权.

先使用远程连接将自己和目标机的8500端口连接，再使用msf生成漏洞

利用漏洞实现后渗透提权

拿到root权限后，找到flag=e3deb1287916235061bb6c4f22e7404f，到网站提交即可。

本在寒假就打完，并写了word，一直被耽搁到现在才发出来，刚刚看了一下，平台已经停用“大使”这个靶场了，不过在本次渗透中，一些渗透思路对我这个菜鸟还是受益良多。