HTB-靶机-Vault

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.109

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.109 -o ./Vault-autorecon

就开放了两个端口端口，访问web应用

没看到啥信息，这里就要爆破目录了，使用下面两条命令进行操作

cewl http://10.10.10.109 | tr '[:upper:]' '[:lower:]' > vault.txt
wfuzz -u http://10.10.10.109/FUZZ -w vault.txt -R2 --hc 404

wfuzz -u http://10.10.10.109/sparklays/FUZZ -w /usr/share/dirb/wordlists/common.txt -R2 --hc 404 --hl 11

上述加了-R2参数，所以可以在爆出来的目录下再在此基础上继续爆破目录，简单理解就是可以进行递归爆破，知道目录了，我们可以访问看看

显示403，猜测可能有上传功能，而此页面刚好就是上传成功之后存放上传文件内容的位置，我们再爆破下

gobuster dir -q -t 50 -w /usr/share/seclists/Discovery/Web-Content/raft-small-words.txt -u http://10.10.10.109/sparklays/design -x php,html -s 200,204,301,302,307 -o bmfxvault.gobuster

最终得到了上传页面

经过多次尝试，确认可以通过上传php5的后缀名称可直接绕过上传限制直接上传反弹shell代码，下面是成功反弹shell

拿到shell读取到下面3个文件

留着这些 后面应该是有用的，根据这些文件的提示，我们需要对目标192.168.122.4进行测试并登录到目标，猜测给出的账号和密码就可以通过ssh登录到目标，要测试目标的原因就是获取的当前反弹shell没有flag

先使用nc扫描下端口

nc -vz 192.168.122.4 1-100

发现开放了22和80端口

想要方便的访问，就使用ssh进行进行本地端口转发

sudo ssh dave@10.10.10.109 -L 80:192.168.122.4:80

此时访问本地80端口就是访问192.168.122.4的80端口

有两个链接，dns链接访问显示404，另一个是链接，可以正常访问，谷歌了下，这里可以通过此处反弹shell

参考：https://medium.com/tenable-techblog/reverse-shell-from-an-openvpn-configuration-file-73fd8b1d38da

点击测试即可反弹shell

查看此主机上的日志信息/var/log/auth.log发现如下重要信息

看了上面的信息就有了下面的操作

我们可以通过上述类似的操作绕过防火墙限制登录到目标靶机上

登录目标靶机

看到用户dave家目录下有个文件root.txt.gpg是加密了，尝试就在目标靶机上解密看看，但是有问题，需要将其传到靶机10.10.10.109上，这里的传输方法可以使用base32进行编码解码传输，可以使用nc进行传输都可以，我这里使用base32进行编码传输

将上述base32编码复制到靶机10.10.10.109上

最后通过在此靶机上进行解密即可