HackTheBox-Linux-Calamity

靶机地址：https://www.hackthebox.eu/home/machines/profile/27

靶机难度：中级（5.0/10）

靶机发布日期：2017年10月5日

靶机描述：

Calamity, while not over challenging to an initial foothold on, is deceivingly difficult. The privilege escalation requires advanced memory exploitation, having to bypass many protections put in place.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.27....

Nmap发现开放了OpenSSH服务和Apache服务器...

在首页上没用有用的信息....

利用dirb进行爆破...发现了admin.php页面...

打开admin.php页面，是个登录的页面...

在前端源码发现了password....

利用admin加获得的密码，成功登录进来，看到该页面给的信息允许在其中运行php代码...

测试发现，是可利用php代码的...

这里经过直接简单代码nc获得shell外壳....但是获得的外壳直接1秒就中断了...

利用burpsuit进行拦截注入，查找到了“列入黑名单的程序可能造成的干扰nc”信息...

这里不能使用NC...

测试了一个想法，直接copy复制NC重命名为dayu....

然后赋予权限....

利用dayu提权，成功绕开了安全机制，获得了反向shell....

这里通过反复测试，还可以利用MSF生成base64的shell....直接利用php注入即可提权...

方法挺多...

成功获得了user的flag信息...

在home目录找到了一个名为recov.wav的文件...以及在alarmclocks目录下发现了另外两个音频文件rick.wav和xouzouris.mp3...

通过NC上传到了本地...通过播放，没有任何信息？？？

经过google查找思路...

利用audacity工具对音频文件进行播放，通过将两个文件导入audacity并反转其中的音轨，只需循环播放即可提供听到完整密码信息....

通过音频文件，获得：18547936..*密码...

利用音频密码，尝试SSH成功登录到xalvas用户中，通过挖掘信息...

发现用户已添加到lxd组中...

lxd是一种容器技术，可以使用lxd以root身份运行进程，为了利用此漏洞，需要下载lxd alpine builder来创建alpine Linux的映像...

git clone https://github.com/saghul/lxd-alpine-builder.git./build-alpine -a i686

可以看到成功下载lxd alpine builder.....

使用lxd alpine builder创建一个32位的Alpine Linux映像....这里信息在前面uname可看到靶机是i686...

这儿会生成一个.tar.gz的镜像文件...上传即可...

scp alpine-v3.11-i686-20200520_0402.tar.gz xalvas@10.10.10.27:

利用scp上传了镜像...

lxc image import alpine-v3.11-i686-20200520_0402.tar.gz --alias alpinelxc image listlxc init alpine ignite -c security.privileged=truelxc config device add ignite host-root disk source=/ path=/mnt/rootlxc start ignitelxc exec ignite /bin/sh

在靶机种导入Linux映像，并创建一个具有管理特权的ignite的映像...

然后将整个文件系统安装到容器中，重新启动容器，并在容器执行后获得了root权限...

lxc提权网上很多方法....

通过root权限获得了root的flag信息...

继续深入看看是否有别的方法..

通过LinEnum.sh目测没发现可利用的什么地方...

但是在app中，存在goodluck程序...存在缓冲区溢出...这里缓冲区溢出漏洞只有28个字节可以注入shellcode...

遇到了问题是没能跳转到root权限..应该是需要找到一种信息泄露的漏洞，利用缓冲区溢出程序跳转过去...能力有限...存放着这个问题，留着以后回来处理....

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。