HTB靶场系列之Seal通关攻略

    白总终于卷起来了，他写了篇文章分享给大家。

1.端口扫描发现目标开放22、443、8080端口。

2.查看443端口

3.端口扫描

4.访问/manager/html应用提示403Forbidden

5.访问8080端口

6.注册一个用户admin1并登录系统

7.进入系统后发现seal_market的代码库

8.打开seal_market/nginx/sites-enabled/default 发现admin/dashboard等页面配置了访问策略

9.点击commit，查看代码提交记录，在记录中发现tomcat管理界面的账号密码tomcat/42MrHBf*z8{Z%。

10.因为应用系统采用nginx+tomcat的组合，使用https://10.129.95.190/admin;a=a/dashboard绕过ngnix对页面的限制。（/admin;a=b/c ngnix解析为/admin;a=b/c,tomcat解析为/admin/c）

11.上传war包，系统返回403错误。

12.在URL处加..;绕过

13.上传成功。

14.连接shell，发现是tomcat权限，系统还有个luis用户。

15.在/opt/backups/playbook目录下发现存在run.yml文件，查看内容发现是3个任务。分别是拷贝文件、压缩文件、删除文件，其中拷贝文件中copy_links=yes标识可拷贝链接。

16.在拷贝的目录下发现存在uploads目录存在读写权限。

17.创建一个链接aaa指向/home/luis/.ssh/id_rsa

18.前往/opt/backups/archives 将生成的压缩包拷贝出来到tmp目录解压，可以看到已经拷贝了id_rsa私钥文件

19.通过私钥连接ssh获得luis权限，并拿到flag。

20.尝试cve-2021-4304提权，失败。

21.使用sudo -l提权，发现ansible-playbook可以使用root权限执行，最后拿到flag。

原文始发于微信公众号（Matrix1024）：HTB靶场系列之Seal通关攻略