![](https://habrastorage.org/webt/3x/rw/fi/3xrwfipsqlqrkupguprdxrgu4ni.png)
Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox.
Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Recon
Данная машина имеет IP адрес 10.10.10.199, который я добавляю в /etc/hosts.
10.10.10.199 openkeys.htb
Первым делом сканируем открытые порты. Я это делаю с помощью следующего скрипта, принимающего один аргумент — адрес сканируемого хоста:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1
![](https://habrastorage.org/webt/t6/hp/bb/t6hpbbax6veowxqjw5jdbv3hs84.png)
Проходим на 80 порт и нас встречает форма авторизации.
![](https://habrastorage.org/webt/d1/bi/nb/d1binbflt4wj9oxkabtwtqgrfja.png)
Entry Point
Давайте просканируем директории.
gobuster dir -t 128 -u openkeys.htb -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php
![](https://habrastorage.org/webt/kq/hr/en/kqhrenrafoh1_5xegsefzzjshca.png)
Находим непроиндексированную директорию include.
![](https://habrastorage.org/webt/gc/d-/wb/gcd-wb2w432gduooa9cjhipvkxo.png)
Посмотрим swp файл.
![](https://habrastorage.org/webt/rs/dg/el/rsdgeld0gwgsu5vgpfv7tae6mhu.png)
И находим новый домен. Добавим его в /etc/hosts. Но там нас встречает все та же форма авторизации. Так как это OpenBSD возникла идея найти дефолтные учетные данные. И я наткнулся на эту статью, оказалось распространенным случаем.
![](https://habrastorage.org/webt/2r/sr/tr/2rsrtrrlsg46s7d34au6zk1n3ew.png)
USER
Авторизуемся и нам сообщают, что такого пользователя нет.
![](https://habrastorage.org/webt/6v/nj/gh/6vnjghzbogqbm3i4dtyvxncsqp8.png)
Тогда ссылаясь на имя домена, предположим, что существует пользователь jennifer.
![](https://habrastorage.org/webt/t_/yy/b4/t_yyb4z3ezrvwk3oaj0exvpaomm.png)
И получаем SSH ключ.
![](https://habrastorage.org/webt/rg/mq/cf/rgmqcf9gie2r2d8awbneg3vjsco.png)
![](https://habrastorage.org/webt/jn/rz/tg/jnrztggrn4agvvipfxcjtwuipgk.png)
ROOT
![](https://habrastorage.org/webt/y8/pg/p9/y8pgp9uoe0jt9zqna_hufrm_jbg.png)
И для данной версии существуют эксплоиты.
![](https://habrastorage.org/webt/1b/py/r6/1bpyr6u86swukfxp18bjfq_-bwk.png)
Загруаем на хост.
scp -i jennifer.key ./openbsd-authroot jennifer@jenniferopenkeys.htb:/tmp/
И выполняем.
![](https://habrastorage.org/webt/zx/my/-o/zxmy-ok8f3dsuhujtivhuni3snu.png)
Мы получаем привилегии root.
Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, отчеты, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.