OpenVPN连接

连接上HackTheBox！

同时找到这个靶机，进行join！分配的靶机的地址位10.10.11.227！

信息收集

nmap -sT --min-rate 10000 -p- 10.10.11.227

开放端口为22和80端口

服务版本和操作系统信息探测：
nmap -sV -sC -O -p22,80 10.10.11.227

Nmap scan report for tickets.keeper.htb (10.10.11.227)
Host is up (0.18s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 35:39:d4:39:40:4b:1f:61:86:dd:7c:37:bb:4b:98:9e (ECDSA)
|_  256 1a:e9:72:be:8b:b1:05:d5:ef:fe:dd:80:d8:ef:c0:66 (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Login
|_http-trane-info: Problem with XML parsing of /evox/about
|_http-server-header: nginx/1.18.0 (Ubuntu)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 4.15 - 5.8 (96%), Linux 3.1 (95%), Linux 3.2 (95%), Linux 5.3 - 5.4 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), Linux 5.0 - 5.5 (94%), Linux 2.6.32 (94%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 - 5.4 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.81 seconds

漏洞脚本信息探测
nmap --script=vuln -p22,80 10.10.11.227

Nmap scan report for tickets.keeper.htb (10.10.11.227)
Host is up (0.16s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=tickets.keeper.htb
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://tickets.keeper.htb:80/
|     Form id: login
|_    Form action: /rt/NoAuth/Login.html
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
| http-vuln-cve2010-0738: 
|_  /jmx-console/: Authentication was not required

Nmap done: 1 IP address (1 host up) scanned in 96.37 seconds

发现一个不需要身份验证的路径！

渗透测试

尝试访问这个路径发现访问不到这个路径，还是需要通过身份验证的！来到了登陆界面，一看路径上的提示就是存在未授权访问！

并没有着急着去测试弱口令，先看了一眼源码中的懂，发现了两个疑似base64的字符串！

这里更加提示我们存在未授权登录！后面的两个字符串真的好像base64！感觉_ 就是= 拿去尝试base64解密！

还真的是base64编码过的东西，上面的那个字符串是result，我还以为这是账号密码~后面登录发现其实并登陆不成功~

然后我就开始了我的弱口令测试，测了很多，并没有上工具。最后发现root password成功登陆了~

第一次打HackTheBox，国外的靶场就是不一样啊，功能点也太多了吧~ 找啊找啊 找到“Admin”->"Users"->"select"下面有两个用户的信息：

点击"27 Inorgaard" 跳转到这个用户的详细页面！

密码出现了！！！尝试一波ssh看看！

ssh

ssh lnorgaard@keeper.htb

成功登陆进来了，进行信息收集！

内核版本比较高，同时禁止使用sudo！查看/etc/passwd文件：

发现只有两个用户存在bash，一个是我们现在登录的用户，另一个就是root！想办法进行提权，查看具有suid的文件：

find / -perm -u=s -type f 2>/dev/null

同样还是没有什么可以利用的东西~

先找找当前用户的flag叫上吧，应该就是在当前目录下面！

这里还有一个压缩包，尝试解压这个压缩包！

unzip RT30000.zip

拿到了两个文件：

利用file查看这两个文件的

这两个文件也没见过，不知道是啥东西。好像是一个密码的转储文件，看名字很像！

结果发现这个好像是存在漏洞，CVE-2023好新的漏洞啊，这就是国外的靶场吗？？GitHub - matro7sh/keepass-dump-masterkey: Script to retrieve the master password of a keepass database <= 2.53.1（POC地址）

利用nc将脚本传到靶机上：

攻击机：nc 10.10.11.227 < poc.py
靶机：nc -lvnp > poc.py

出来了一堆可能的密码，但是缺少了三个字符！

尝试进行搜索！直接拿去google！ 说是第一次打HTB 感觉到了难 这个还是个 easy级别的！好抽象啊

google到说是一种简单的甜点 （rødgrød med fløde）

这个kdbx文件是包含密码的加密的数据库文件，那么应该就是上面我们找到那个密码（甜品的名字~）

但是怎么打开这个文件呢？

先起一个web服务，利用python，然后把这个文件下载下来！

python3 -m http.server

利用攻击机将这个文件下载下来。之后我们尝试利用工具打开它。利用keepass2工具！kali安装一下即可！

输入刚才我们找到那个密码！

在Entity部分，可以找到一个用户名为root 和一个用于访问Putty的SSH RSA密钥！

之后我们将这个key存储到一个文件rsa.key文件中，然后将创建相关的.pem文件，并给予读取权限！

利用puttygen生成相关的pem文件！

puttygen key.rsa -O private-openssh -o key.pem

生成这个文件之后，赋予权限！

之后利用这个文件进行登录！

ssh -i key.pem root@keeper.htb