HackTheBox-Linux-Calamity

  • A+
所属分类:安全文章

一个每日分享渗透小技巧的公众号HackTheBox-Linux-Calamity



大家好,这里是 大余安全 的第 106 篇文章,本公众号会每日分享攻防渗透技术给大家。


HackTheBox-Linux-Calamity

靶机地址:https://www.hackthebox.eu/home/machines/profile/27

靶机难度:中级(5.0/10)

靶机发布日期:2017年10月5日

靶机描述:

Calamity, while not over challenging to an initial foothold on, is deceivingly difficult. The privilege escalation requires advanced memory exploitation, having to bypass many protections put in place.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。



HackTheBox-Linux-Calamity

一、信息收集


HackTheBox-Linux-Calamity

可以看到靶机的IP是10.10.10.27....

HackTheBox-Linux-Calamity

Nmap发现开放了OpenSSH服务和Apache服务器...

HackTheBox-Linux-Calamity

在首页上没用有用的信息....

HackTheBox-Linux-Calamity

利用dirb进行爆破...发现了admin.php页面...

HackTheBox-Linux-Calamity

打开admin.php页面,是个登录的页面...

HackTheBox-Linux-Calamity

在前端源码发现了password....

HackTheBox-Linux-Calamity

利用admin加获得的密码,成功登录进来,看到该页面给的信息允许在其中运行php代码...

HackTheBox-Linux-Calamity

测试发现,是可利用php代码的...

HackTheBox-Linux-Calamity

这里经过直接简单代码nc获得shell外壳....但是获得的外壳直接1秒就中断了...

利用burpsuit进行拦截注入,查找到了“列入黑名单的程序可能造成的干扰nc”信息...

这里不能使用NC...

HackTheBox-Linux-Calamity

测试了一个想法,直接copy复制NC重命名为dayu....

HackTheBox-Linux-Calamity

然后赋予权限....

HackTheBox-Linux-Calamity

利用dayu提权,成功绕开了安全机制,获得了反向shell....

这里通过反复测试,还可以利用MSF生成base64的shell....直接利用php注入即可提权...

方法挺多...

成功获得了user的flag信息...

HackTheBox-Linux-Calamity

在home目录找到了一个名为recov.wav的文件...以及在alarmclocks目录下发现了另外两个音频文件rick.wav和xouzouris.mp3...

通过NC上传到了本地...通过播放,没有任何信息???

经过google查找思路...

HackTheBox-Linux-Calamity

利用audacity工具对音频文件进行播放,通过将两个文件导入audacity并反转其中的音轨,只需循环播放即可提供听到完整密码信息....

通过音频文件,获得:18547936..*密码...

HackTheBox-Linux-Calamity

利用音频密码,尝试SSH成功登录到xalvas用户中,通过挖掘信息...

发现用户已添加到lxd组中...

lxd是一种容器技术,可以使用lxd以root身份运行进程,为了利用此漏洞,需要下载lxd alpine builder来创建alpine Linux的映像...

HackTheBox-Linux-Calamity

git clone https://github.com/saghul/lxd-alpine-builder.git./build-alpine -a i686

以看到成功下载lxd alpine builder.....

使用lxd alpine builder创建一个32位的Alpine Linux映像....这里信息在前面uname可看到靶机是i686...

HackTheBox-Linux-Calamity

这儿会生成一个.tar.gz的镜像文件...上传即可...

HackTheBox-Linux-Calamity

scp alpine-v3.11-i686-20200520_0402.tar.gz [email protected]10.10.10.27:

利用scp上传了镜像...

HackTheBox-Linux-Calamity

lxc image import alpine-v3.11-i686-20200520_0402.tar.gz --alias alpinelxc image listlxc init alpine ignite -c security.privileged=truelxc config device add ignite host-root disk source=/ path=/mnt/rootlxc start ignitelxc exec ignite /bin/sh

在靶机种导入Linux映像,并创建一个具有管理特权的ignite的映像...

然后将整个文件系统安装到容器中,重新启动容器,并在容器执行后获得了root权限...

lxc提权网上很多方法....

HackTheBox-Linux-Calamity

通过root权限获得了root的flag信息...

HackTheBox-Linux-Calamity

继续深入看看是否有别的方法..


HackTheBox-Linux-Calamity

通过LinEnum.sh目测没发现可利用的什么地方...

但是在app中,存在goodluck程序...存在缓冲区溢出...这里缓冲区溢出漏洞只有28个字节可以注入shellcode...


遇到了问题是没能跳转到root权限..应该是需要找到一种信息泄露的漏洞,利用缓冲区溢出程序跳转过去...能力有限...存放着这个问题,留着以后回来处理....


由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-Linux-Calamity
HackTheBox-Linux-Calamity


HackTheBox-Linux-Calamity


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-Linux-Calamity

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-Linux-Calamity



本文始发于微信公众号(大余安全):HackTheBox-Linux-Calamity

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: