**
HackTheBox-Linux-Ypuffy-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/154
靶机难度:中级(3.3/10)
靶机发布日期:2019年2月4日
靶机描述:
Ypuffy is medium difficulty machine which highlights the danger of allowing LDAP null sessions. It also features an interesting SSH CA authentication privilege escalation, via the OpenBSD doas command. An additional privilege escalation involving Xorg is also possible.
作者:大余
时间:2020-06-18
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.107…
Nmap发现开放了SSH,Samba,LDAP和OpenBSD的httpd Web服务…
这里访问web拒绝链接…无法访问…
smbmap -H也拒绝访问…
命令:nmap -p 389 --script ldap-search ypuffy.htb
直接利用nmap枚举LDAP…发现了uid和password…
直接利用获得的uid和password进入了smb…
并下载了key…
发现这是key…要将其转换为OpenSSH格式,使用puttygen即可…
利用puttygen直接转换,然后成功ssh登陆到ypuffy用户权限中,获得了user_flag信息…
开始http无法访问,吸引了我注意,我开始枚举信息…
在httpd.conf发现了location "/userca*"和location “/sshauth*”…home下存在userca目录…可用于ssh?
可看到该用户可以以/usr/bin/ssh-keygen的权限运行命令userca,枚举/home/userca目录发现目录中存在ca私有SSH密钥和ca.pub公共SSH密钥…
枚举ssh目录,查看ssh_config发现了可利用的信息…
curl枚举,获得了root的密码信息…
这里只需要使用ssh-keygen为userca创建一个有效的密钥即可提权…
创建key…
这里利用了doas命令对密钥进行了签名…
然后成功获得了root权限,并获得root_flag信息…
LDAP枚举–ssh提权…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
