Hack The Box Vault Writeup

1.10.10.10.109端口80有web服务，提示存在网站sparklays

sparklays
2.目录爆破发现上传漏洞，利用php5后缀可以轻松绕过获得shell，检查使用shell的路径在http://10.10.10.109/sparklays/design/uploads/4444.php5 上传漏洞
3.在/home/dave/Desktop目录下发现多个可以文件，一个是key密钥，后面解密会用到；二是Servers，其中包括了ip到主机的对应，说明存在网段192.168.122.X；三是ssh登录口令，dave:Dav3therav3123。 线索文件
4.对192.168.122.4进行扫描，发现开放有80、22端口，做ssh本地转发访问web服务
ssh -L 1080:192.168.122.4:80 dave@10.10.10.109 192.168.122.4上的web服务
5.对网站目录进行fuzz可以发现notes目录，其中包含两个文件，123.ovpn较关键，内容如下，修改回连ip后在vpnconfig.php页面粘贴运行，并在ubuntu主机上启动nc监听，可以拿到root@DNS的shell，在 /home/dave 目录中可以拿到user.txt DNS shell
6.继续搜索主机，在/var/log/auth.log中可以发现登录192.168.5.2的方法!。在/home/dave目录下可以发现另一组登录凭据：dave dav3gerous567 登录日志
7.首先运行 setsid ncat -l 8888 --sh-exec "ncat 192.168.5.2 987 --source-port=4444" 让本地8888端口于远程987端口建立转发，并通过ssh dave@localhost -p 8888登录目标，获取一个普通用户权限shell 本地转发登录主机
8.在主机上发现一处敏感文件/home/dave/root.txt.gpg，显然最后的flag经过加密，而我们在第三步已经获取了key，可以用于解密，那么需要做的就是拷贝回来，因此在DNS主机上运行scp -P 5555 dave@localhost:/home/dave/root.txt.gpg /tmp，最后拷贝回ubuntu主机scp dave@192.168.122.4:/tmp/root.txt.gpg /tmp
9.利用key里的密钥解密获得root flag root