HTB-Included(本地文件包含、TFTP文件上传、LXD容器挂载目录)

已于 2024-09-14 22:32:45 修改
阅读量722 收藏 6
点赞数 13
分类专栏: 安全靶场训练营 文章标签: web安全 网络安全
于 2024-09-14 22:28:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58038441/article/details/142266047
版权

前言

  • 各位师傅大家好,我是qmx_07,今天给大家讲解Included靶机
    在这里插入图片描述

渗透过程

信息搜集

  • rustscan工具 通常只扫描TCP端口,所以我们要配合nmap进行-sU 执行udp端口扫描
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 可以观察到 服务器开放了TFTP UDP端口,用来进行文件传输协议,端口号是69
  • 同时开放了80 HTTP TCP端口

发现HTTP服务 存在本地文件包含

在这里插入图片描述

  • 发现url地址栏里 有?filename 这个参数,怀疑是文件包含
    在这里插入图片描述
  • /etc/passwd 文件存放linux系统存在的用户信息
  • 确认 存在文件包含漏洞

登录TFTP服务 上传shell php文件

  • 文件准备:
    在这里插入图片描述
  • 文件存放在:/usr/share/webshells/php/php-reverse-shell.php
    在这里插入图片描述
  • 通过tftp 上传shell文件
  • tftp默认存放目录: /var/lib/tftpboot

通过文件包含漏洞 反弹会话

在这里插入图片描述

  • 访问上传的shell文件,成功反弹会话
    在这里插入图片描述
  • 通过以下命令,稳定会话
script /dev/null -c bash

在这里插入图片描述

  • 通过访问网站目录,发现mike用户及密码

LXD权限提升

在这里插入图片描述

  • 通过查看mike用户 发现所属于lxd组
  • LXD 是用于在 Linux 系统上处理 LXC 容器的管理 API,为本地 lxd 组的任何成员执行任务
  • 通过查阅Hackticks 资料,利用 Alpine 镜像起作用,该镜像是基于 busy box 的轻量级 Linux 发行版,在本地下载并构建此发行版后,将使用 HTTP 服务器将其上传到远程系统。然后将该映像导入 LXD 中,并使用 root 权限挂载 Host 文件系统

alpine镜像下载:

git clone https://github.com/saghul/lxd-alpine-builder.git

cd lxd-alpine-builder

./build-alpine

在这里插入图片描述

  • 开启http服务器
    在这里插入图片描述
  • 下载HTTP服务中的alpine 镜像
    在这里插入图片描述
lxc image improt 镜像 //导入镜像
lxc image list //查看容器列表

挂载目录:


设置security.privileged为ture,这样容器就能拥有根文件系统拥有的所有特权
lxc init cd73881adaac privesc -c security.privileged=true

在 LXC 容器中添加一个磁盘设备并挂载到/mnt文件夹
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true

在这里插入图片描述
在这里插入图片描述

  • 容器初始化设置权限、挂载文件夹成功
    在这里插入图片描述
  • 启动容器并开启shell
    在这里插入图片描述
    用户 flag:a56ef91d70cfbf2cdb8f454c006935a1

在这里插入图片描述
root flag:c693d9c7499d9f572ee375d4c14c7bcf

知识点讲解

  • Linux Container(LXC)通常被认为是一种轻量级虚拟化技术,它介于Chroot和完整开发的虚拟机之间,LXC可以创建一个跟正常Linux操作系统十分接近的环境,但是不需要使用到单独的内核资源
  • Linux Daemon(LXD)是一个轻量级容器管理程序,而LXD是基于LXC容器技术实现的,而这种技术之前Docker也使用过。LXD使用了稳定的LXC API来完成所有的后台容器管理工作,并且增加了REST API支持,更进一步地提升了用户体验度

答案

  • 1.服务器运行着什么服务?

TFTP

  • 2.HTTP80端口 拥有什么漏洞?

Local File Inclusion

  • 3.TFTP 用来默认存储的文件地址是?

/var/lib/tftpboot/

  • 4.哪个文件位于Web服务器文件夹,用于横向移动?

.htpasswd

  • 5.Mike所属的哪个组可以用作权限提升?

lxd

  • 6.利用镜像是什么?

alpine

  • 7.为容器设置什么参数 能拥有root权限?

security.privileged=true

  • 8.挂载目录后,可以在容器哪个位置找到flag.txt?

/mnt/root/

  • 9.用户flag是?

a56ef91d70cfbf2cdb8f454c006935a1

  • 10.root flag是?

c693d9c7499d9f572ee375d4c14c7bcf

总结

  • 介绍了 本地文件包含、TFTP协议 上传shell文件反弹会话,通过容器挂载目录 做权限提升
qmx_07
关注
专栏目录
HTB_Inclued_TFTP文件包含LXD提权
网络安全学习
01-31 517
HTB_Inclued_TFTP文件包含LXD提权
HTB-Responder(文件包含和哈希破解)
weixin_58038441的博客
09-01 1150
我们讲解了文件包含、Responder工具,John the ripper工具,WinRM协议的相关知识。
HackTheBox-Starting Point--Tier 2---Included
七天
11-16 184
TFTP (Trivial File Transfer Protocol)是一种简单的协议,提供基本的文件传输功能,不需要用户身份验证。文件包含执行reverse-shell.php文件,TFTP文件路径在之前读取/etc/passwd的时候已经发现:/var/lib/tftpboot。TFTP服务器已经连接上,可以上传下载文件,此时可以通过TFTP服务器上传一个反弹shell,使用文件包含漏洞执行shell。在包含/etc/passwd文件后,发现存在mike、tftp用户。3.文件包含漏洞探测。
htb-GreenHorn
whale_waves的博客
08-09 1021
Gitea是一个开源的自助 Git 服务,类似于 GitHub 或 GitLab的轻便型版本 简单来说就是一个自己搭建的开源的库,只是说完全有自己掌控不依赖第三方服务商
HTB-Bastion
2201_75378806的博客
05-15 965
它存储虚拟机(VM)硬盘的内容,其中可能包括磁盘分区,文件系统,文件和文件夹。它是 Libguestfs 项目的一部分,该项目提供用于访问和修改虚拟机 (VM) 磁盘映像的工具。SAM 文件是 Windows 安全基础结构的关键组件,用于系统上的本地身份验证。检查器是一个可以自动检测映像中有关操作系统和磁盘结构的信息的工具。然而,在备份中它们是可以访问的,因为它们没有“使用中”。:指定要访问的虚拟机磁盘映像的路径。在这种情况下,路径指向位于指定目录的VHD(虚拟硬盘)文件。:指定磁盘映像应以只读模式安装。
htb-Bounty
2201_75378806的博客
05-15 1973
端口扫描该网站本身只是提供了一个向导的图像merlin.jpgf12 抓包响应标头表明该站点由以下人员提供支持ASP.NETgobuster -u http://10.10.10.93 -w usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30 -o gobuster_root -x aspx爆破目录呈现一个带有“浏览...”和“上传”按钮的简单表单:上传一个图片看看aspx shell 的副本,并尝试上传它。
htb-beep
m0_55772907的博客
09-15 952
一般
HTB-BoardLight靶机笔记
LINGX5的博客
08-18 790
HTB的靶机BoardLight靶机地址:https://app.hackthebox.com/machines/BoardLight通过nmap扫描发现目标靶机开启了22,80端口对80端口的http服务进行了目录爆破和子域名爆破,发现了doblarr的cms框架,通过google搜索,找到了 Exploit-for-Dolibarr-17.0.0-CVE-2023-30253漏洞的利用脚本。通过利用cms的漏洞成功获得shell,通过对配置的阅读,发现了一组凭据!,成功获得了用户的shell。
HTB-Timelapse
2201_75378806的博客
05-18 954
您还可以使⽤Windows LAPS⾃动管理和备份Windows Server Active Directory域控制器上的⽬录服务还原模式(DSRM)账户密码。使⽤LAPS(Local Administrator Password Solution),域控制器可以管理域中计算机的本地管理员密。要读取LAPS(本地管理员密码解决⽅案)密码,只需要使⽤Get-ADComputer命令,并明确请求ms。通常会创建⼀个⽤户组,并赋予其读取这些密码的权限,从⽽允许可信管理员访问所有本地管理员。
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
HTB侦察 关于 该脚本创建一个多窗格多窗口tmux会话。 为不同的任务创建不同的窗格。 自动为您键入基本的枚举命令,只需按Enter键即可。 要求 Tmux sudo apt install tmux 马斯坎 地图 哥布斯特 ffuf(安装并将其...
HTB-Gen:脚本para gerar邀请de HackTheBox
03-29
HTB-Gen 脚本para gerar邀请de HackTheBox Windows / Linux Qualquer pessoa pode usar o script para fins lucrativos,para usar apenas tens abrir o teu Terminal / CMD dentro do diretorio do script depois...
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 459
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 1015
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
如何做好网络安全
最新发布
dexunyun的博客
09-08 1031
面对日益复杂的网络威胁,企业必须高度重视网站安全,建立全面的安全防护体系,加强内部和外部安全防护,制定详细的应急响应计划,确保在发生安全事件时能够迅速响应并恢复服务。及时报警、零误报 基于智能监测分波算法对全国超50个监测节点智能任务分配,适应不同运营商、不同线路的网络状况,模拟真实的网络环境,提供精准、迅速的监测结果,并通过可视化风险评估报表、安全报告及风险告警等手段构建完善监测体系。一旦网站遭受攻击,这些数据可能被窃取、篡改或泄露,不仅损害企业利益,还可能侵犯用户隐私,导致法律纠纷和声誉损失。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1531
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 800
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值