writeup

1、nmap扫一下，发现就2个端口22、80，访问ip地址发现提示

这里出现两个域名：writeup.htb\www.hackthebox.eu，全部加入hosts解析

加入解析后，访问发现没什么作用

2、发现下面的提示，存在什么备份文件，试试gobuster扫描一下备份文件，好像也没什么用

3、再回头看看nmap端口扫描结构，发现80端口是tcpwrapped状态，试试单独对80端口进行扫描，发现新的内容

4、访问/writeup/这个网址，发现是一个CMS-Made-SImple

5、查找该cms相关漏洞，使用poc得到用户名密码，这里需要注意的是由于网络延迟的原因，这个基于时间盲注的poc脚本根本无法在本机执行，只能通过pwn box执行

[+] Salt for password found: 5a599ef579066807 [+] Username found: jkr [+] Email found: jkr@writeup.htb [+] Password found: 62def4866937f08cc13bab43bb14e6f7 ┌─[sg-vip-2]─[10.10.14.8]─[yujiji@htb-y3o3r17kbl]─[~/CVE-2019-9053-Exploit-Python-3] └──╼ [★]$

6、接下来根据用户名、密码、sale进行hashcat破解

hashcat -m 20 -a 0 -o cracked.txt --username hash.txt /usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt

7、使用ssh登录jkr/raykayjay9

4085da73e00b385b99fdfa6a84750701

8、上传linpas.sh，查看可提权的地方，发现存在staff组

9、按照链接提示去hackertricks查看，提权方法

Interesting Groups - Linux Privesc - HackTricks

并且查看我们的操作权限

也就是说我们拥有S、R权限可以对这个目录进行写，按照hackertricks说法

staff组是一个特别的用户组，通常用于允许普通用户对系统进行一些本地修改，而无需获得 root 权限。这个组主要作用是让用户在不需要管理员权限的情况下，能够在系统上做一些特定的修改，尤其是在 /usr/local目录下。

所以，如果我们能够劫持 /usr/local目录中的某些程序，那么就可能很容易获得 root 权限。其中

• run-parts是一个用于执行目录中的所有可执行文件的工具，通常用于自动化任务。

• 比如，crontab定期运行的任务，或者用户通过 SSH 登录时执行的脚本，都可能会调用 run-parts来执行某些操作。

因此，我们手动在/usr/local/bin创建一个run-parts文件，并且写入

#! /bin/bash
chmod 4777 /bin/bash

然后给这个run-parts加入可执行权限x，然后重新进行ssh连接，然后直接/bin/bash -p

80c48f29f7d4e7a13994cf5e2aa3660a