white0123

永远保持第一天接触网络安全的热情

首页 归档 标签 关于

HackTheBox—Devvortex靶机

2023-11-29 3 min read # HackTheBox

前言

一台简单的靶机 提权那里卡了一下。 复现的时候时间仓促,写了下大概思路。不是很详细。

信息收集

还是直接得到IP地址后使用nmap扫描了一下

nmap -sV 10.10.11.242

得到开放端口只有 22 端口和 80端口 那么想得到shell 只有通过web端的渗透了 (SSH暴力破解 这种方式我一般不到最后不尝试)。

直接访问IP无法访问。

修改host文件

可访问IP地址。

image-20231129172036077

对其进行了目录扫描没有得到有用的信息。

点了下功能点 有几个框框 简单测试了一下 没有什么返回。

尝试进行fuzz操作 扫出来子域名 dev.

第一步就这几下 扫目录 看功能点 组件。找nday 0day之类的额。没有的话就进行fuzz操作。

对子域名进行目录暴破 得到 robots.txt 和 adminstrator README.txt目录等。

image-20231129172833794

得到建站信息。指出了CMS的版本信息 。这个版本是存在一个未授权访问的。

https://github.com/YusinoMy/CVE-2023-23752

POC /api/index.php/v1/config/application?public=true

得到一些账号信息密码

image-20231129173053845

可以直接登录系统了。

getshell

找那个配置文件 可以直接上传木马。

image-20231129173230837

我用的是github的一个开源的木马。

上传后访问 然后输入反弹shell语句 并监听可以得到网站的权限。

也算是成功getshell了。但是目前还是网站的权限 还没有上升到主机的权限。

/home文件下有一个logan的用户 但是我们没有权限cd进去。

可以去翻数据库的配置文件 使用前面得到的密码进去。可以得到加密后的logan 的密码 使用john 或者hashcat ,可以将密码解出来。密码是 tequieromucho

直接ssh连接就可以了。

权限提升

image-20231129173842854

得到user.txt。

后面需要进行权限提升。

常见的提权方式有 sudo 提权 suid提权 内核提权等 这方面主要还是通过一些历史漏洞进行权限提升。

这个可以实现sudo提权 有一个那个/apport-cli

image-20231129174247950

我去GTF上面找 没有对应的命令 我就以为没有了 后面绕了一圈回来 其实是可以通过sudo调用这个服务实现提取的。

https://github.com/canonical/apport/commit/e5f78cc89f1f5888b6a56b785dddcb0364c48ecb

这篇文章有讲到 。

大概就是通过sudo执行 可以发现当前权限是root权限。

然后可以通过chmod的命令 增加其他服务的权限。

这里一般都是用的bash

chmod u+s /bin/bash。

执行后 退出去 执行命令

/bin/bash -p

可以实现权限提升。

image-20231129174730149

靶机总体难度还好 最后的提权方式可以记录一下 下一次如果遇到这种场景可能会有点用。

RSS