**

HackTheBox-Linux-Networked-Walkthrough

**
¬
靶机地址：hackthebox.eu/home/machines/profile/203
靶机难度：初级（3.8/10）
靶机发布日期：2019年11月14日
靶机描述：
Networked is an Easy difficulty Linux box vulnerable to file upload bypass, leading to code execution. Due to improper sanitization, a crontab running as the user can be exploited to achieve command execution. The user has privileges to execute a network configuration script, which can be leveraged to execute commands as root.

作者：大余
时间：2020-07-20

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.146…

我这里利用Masscan快速的扫描出了22，80端口，在利用nmap详细的扫描了两个端口情况…看图即可

http页面仅仅让我们继续深入渗透…没啥信息…**吧

获得了很多目录…开始枚举

在backup下下载tar…

解压获得了四个文件…php

upload是文件上传？

photos是上传后显示的文件存储页面…

随意上传个简单的文件，首先php和png结尾都测试了…

目前不管是php和png都无法上传…需要绕过了…
回头看了upload.php和photos.php代码…
阅读upload.php知道了图像可以上传到该uploads文件夹，必须是.jpg，.jpeg，.png或.gif结尾才行，它还通过PHP函数检查文件是否为映像finfo_file()…

google尝试了几种方法绕过，挺好玩的…成功上传…

上传后的文件名在photos上显现…

二、提权

我这里测试了gif和png都绕过了…随便提那个shell，获得了反向外壳…

这个外壳低权，无法查看flag，需要继续枚举提权…
在home目录guly用户目录下…
发现了check_attack.php脚本…
该脚本每3分钟运行一次，脚本通过检查正则表达式并通过check_ip()函数运行名称来检查上传的文件是否有害，如果检测到该文件为恶意文件，则将其删除，但rm不会清除对的调用信息，可以为此注入命令，创建一个恶意shell即可…

不管什么shell，他都会执行…简单即可…获得了guly外壳…
并获得了user_flag信息…

sudo发现了ALL提权信息…查看下sh代码…

代码很简单，基本上要求我们填写4个变量，然后编写一个网络接口配置文件并尝试启动该设备，通过任意信息+bash执行即可…

获得了root权限，并获得了root_flag信息…

简单的靶机，没什么新鲜感…只能说练习了下手感…继续加油

由于我们已经成功得到root权限查看user和root.txt，因此完成这台初级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。