当数据分析平台成为黑客的后门电梯！HackTheBox Analytics靶机，用一场轻松秒杀的渗透实验，揭开现代企业最致命的信任陷阱，这不仅是技术挑战，更是一次对企业安全盲点的降维打击，在数据驱动决策的时代，你的分析工具可能正在为攻击者生成入侵路线图，Nday -> Docker -> 内核提权

靶机地址

https://app.hackthebox.com/machines/569

适合读者

√ 渗透测试学习者√ 企业安全运维人员√ CTF竞赛战队√ 想掌握链式攻击思维的安全从业者

（技术细节已简化，适合各水平的读者快速理解）

一、信息收集

VPN 连接正常，能够访问目标机器

端口扫描

nmap -sT --min-rate 10000 -p- 10.10.11.233 -oA nmapscan/ports

nmap -sT -Pn -sV -sC -O -p22,80 10.10.11.233

只开放了 22 和 80 端口，得到一个域名analytical.htb

使用 Nmap 自带脚本漏洞扫描没有结果

nmap -script=vuln -p22,80 10.10.11.233 -oA nmapscan/vuln

Web 信息收集

修改/etc/hosts文件，添加 IP 和域名，并重启网络，Web 访问成功

vim /etc/hostssystemctl restart networking

whatweb

wappalyzer

dirsearch

没有发现敏感目录文件

子域名探测

gobuster

gobuster vhost -w /usr/share/wordlists/amass/subdomains-top1mil-5000.txt -u http://analytical.htb -t 30 --append-domain

得到一个子域名：data.analytical.htb

浏览器访问发现是 Metabase 产品

信息整理

二、漏洞探测

getshell

谷歌搜索得知 metabase 的 RCE 漏洞：CVE-2023-38646

exp: https://github.com/nickswink/CVE-2023-38646

反弹 shell 成功，轻轻松松😄

当前是 metabase 普通用户权限，但是没有找到用户 flag，发现当前是 docker 环境

ls -alh /.dockerenv

SSH

上传linpeas.sh脚本，运行后在环境变量发现一对账号密码metalytics / An4lytics_ds20223#

因为开放了 22 端口，尝试 SSH 登录成功，不是 docker 环境，在 /home 路径找到用户 flag

三、权限提升

提权到 root

查看系统版本和内核版本

uname -acat /etc/*release

谷歌搜索得到一个适合该版本的提权漏洞CVE-2023-2640

root拿下！🤣

exp: https://github.com/g1vi/CVE-2023-2640-CVE-2023-32629