q

编译报错Package ‘dbus-1’, required by ‘virtual:world’, not found使用apt安装libdbus-1-dev解决。sh就提权成功了，为什么会用trail服务因为sudo-l只有这个服务才能不用输入密码。手撮失败，sys返回的值为0.002s，改成0.001和改成0.002都创建不了pwn用户，试了无数次，换个方向。maltrail配置文件在/opt/maltrail/maltrail.conf下发现一串hash。搜索sudo systemctl提权。

上传linpeas进行信息收集有一个数据库文件/var/www/contact/tickets.db。在其他wp 找到的破解root密码用python编写的脚本，使用gpt加上了注释使我更容易理解。可以看见这个是一个备份mysql的脚本，用户是root，这里需要验证root密码。将codify添加到hosts，访问80端口发现是vm2沙盒版本为3.9.16。在/var/www/contact/tickets.db发现一个hash。使用hashcat进行进行破解，先查找使用什么模式进行破解。

查看htdocs权限，发现有system权限，文件夹是system权限的，那么webshell拿到的也应该是system的，上传个web后门进行提权。————本文章仅用于学习记录，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。在c盘看见一个xammp的文件----XAMPP（Apache+MySQL+PHP+PERL）是一个功能强大的建站集成软件包。登录到8080WEB端口，注册一个用户进入发现一个文件上传点。

Devvortex使用nmap扫描服务器使用wfuzz进行子域名爆破爆破出dev的子域名，将子域名加入hosts使用gobuster对dev.devvortex.htb进行目录扫描扫描出administrator的目录发现登录页面扫描出README.txt，发现joomla版本为4.2发现是joomla cms在网上发现有专门的漏洞扫描工具：joomscan下载使用joomscan进行扫描扫描出joomla的版本为4.2.6 并且扫描出部分目录。

使用kerbrute爆破administrator用户，未爆破出来，因为administrator用户通常是未设置密码错误阀数，不推荐直接爆破，会有安全日志。使用responder开启伪造服务器，当mssql访问时就会把凭证发过来，再通过破解hash登录mssql获得最高权限。将用户名放入user.txt，使用crackmapexec进行爆破密码同用户名一样的。访问权限来进行域权限升级，但可以使用它来颁发或拒绝待处理的证书请求。这里爆破的时间很长，下面是爆破出来的用户名。

登录进去发现一个lnorgaard用户在他的备注中说的，初始密码设置为Welcome2023!带●的是遗失的，第二个字符是猜测的，有些wp不懂就去看资料，说●像o，又懂完了，别误人子弟。把域名及子域名添加到hosts，发现一个登录框，以及是RT 4.4.4版本。下载putty工具，并将其转成openssh格式的id_rsa文件。解压后发现是一个dmp文件，dmp文件是系统错误产生的文件。使用G搜索，密码为：rødgrød med fløde。使用sudo -l查看使用有sudo权限，并没有。

BusyBox 包含了一些简单的工具，例如ls、cat和echo等等，还包含了一些更大、更复杂的工具，例grep、find、mount以及telnet。在/var/www/html/craft/storage/backups中发现一个sql的压缩包，使用python开启http服务，访问并下载文件。使用hash-identifier识别hash属性，识别出来为SHA-256,Haval-256。使用sudo执行shell脚本 pass中的密码是上文linpeas找到的。1888吉利数保存一下。