HackTheBox - Medium - Linux - Mentor

Mentor

Mentor 是一台中等难度的 Linux 机器，其路径包括在到达 root 之前在四个不同的用户之间切换。使用可暴力破解的社区字符串扫描“SNMP”服务后，会发现用于“API”端点的明文凭据，该端点被证明容易受到盲目远程代码执行的影响，并导致在 docker 容器上站稳脚跟。枚举容器'的网络在另一个容器上显示“PostgreSQL”服务，可以通过使用默认凭据进行身份验证来将其用于 RCE。检查“PostgreSQL”容器上的旧数据库备份会发现一个哈希值，一旦破解，该哈希值将用于“SSH”进入计算机。最后，通过检查主机上的配置文件，攻击者能够检索用户“james”的密码，该用户能够以 sudo 权限运行“/bin/sh”命令，从而立即丧失“root”权限。

---

外部信息收集

端口扫描

循例nmap

Web枚举

ffuf扫vhost

api子域

feroxbuster扫一下

/docs

/openapi.json

SNMP

snmpbrute

跑snmpbulkwalk

snmpbulkwalk -v 2c -c internal 10.10.11.193 > ./res

Foothold

login.py后的参数大概就是密码，前面给了james

前面的/admin还有两个端点

在/admin/backup中存在blind rce

reverse shell

Docker逃逸

app/目录

这里有一组数据库的凭据

chisel把postgresql转出来

攻击机

目标机器

通过那组凭据，我们能够进入数据库

有三个表

users表有两个hash

CrackStation爆出来一个，即svc的

我们能够通过这组凭据来登录ssh

本地横向移动 -> james

跑linpeas

/etc/snmpd.conf里有一组密码

这密码是james的

本地权限提升

sudo -l

它会向我们妥协