前言
昨天才开的坑,今天就开始摸鱼了。。在家里练琴练了一天。。。等等,好像练琴才是我的专业来着?不管了
于是乎,练了无聊了,就突然叫九世有没有啥靶场玩,然后九世九发来了个 htb
开始
注册 htb 这些啥的就不说了,就是 js 泄露一个 api 然后 post 就行注册。
之后直接下载 ovpn 进他们内网直接打靶场

经理了各种奇怪的东西,我们终于连上了。
开打
直接对着目标,御剑 s 扫描器走起
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | IP:10.10.10.215 portscan: 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0) 80/tcp open http Apache httpd 2.4.41 ((Ubuntu)) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel webinfo: http://academy.htb/ [200 OK] Apache[2.4.41], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.41 (Ubuntu)], IP[10.10.10.215], Title[Hack The Box Academy] WebPath: /Images /server-status /login.php /register.php /admin.php |

初步断定就开个 web,好的直接访问 web。。。
跳转到一个域名然后显示 dns 访问失败。
手动加一下 hosts
10.10.10.215 academy.htb
之后就可以进 web 了。

对着对着上面御剑出来的结果,先去 register.php
注册个用户。
然后登录,登陆后界面如下

稍微看了下,似乎是一个成熟的 cms,唯一比较可疑的就是 url。这时候我们先不深挖,把这个放到一边
然后我们去看 admin.php
和 server-status
这两个
其中 server-status
403 了,也不管,admin.php 弱口令走起,admin / admin
。

洋文不好我也不知道进没进去,但是我发现了一个新的资产
dev-staging-01
,访问了下,一眼就看出是 larvaral,还是开启的 debug。

这时候,脑内直接 biu 出几个 lar 那啥我不会拼的 RCE,最后对照


直接秒掉

用时不到十分钟
提权
摸了会儿鱼(
系统版本是
`Linux academy 5.4.0-52-generic #57-Ubuntu SMP Thu Oct 15 10:57:00
UTC 2020 x86_64 x86_64 x86_64 GNU/Linux`
看样子很新,脑内想不出啥 exp
然后 mysql 权限也不高,查看 /home
的时候,发现了

结合后台登陆后的
1 | Complete initial set of modules (cry0l1t3 / mrb3n) |
这时候基本已经猜到了攻击流程。

虽然不知道是否正确,但是按照这个思路走走看
数据库 tmd 一读(然而其实是在 web 目录下的.env 的配置文件读到密码)。ssh 就这么一登(撞了好几个用户)。
哟西,上去了,然而和预想有点偏差。。

这时候我才发现分为user flag和root flag。那是我太天真了。
那接下来就是继续提权去拿 root flag 了。
接下来就是漫长的提权之旅。。
因为我的 jio 本不知道为啥跑不起来。。于是乎我就先手动看看,想着之后再跑自动收集 jio 本也就是
https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
如何提权?高权进程 SUID 自运行脚本日志以及文件劫持等等。。。
其中,我发现 tmp 下有奇怪的 tmp 文件,里面有 composer.json
文件。。然后还不放你访问,一看用户是 mrb3n。
这个用户再 passwd
中 id 比我们前一号,并且之前 web 页面也出现这个用户,所以基本断定要先登录这个用户了。。
正在我一筹莫展想着咋过去时,九世出了个好消息

成功用 jio 本收集到了 mrb3n
用户的密码
然后还有提示

基本提权方式就是,https://gtfobins.github.io/gtfobins/composer/

自此基本结束
双双和九世拿着 flag 把家还,呸,各回各家,各找各妈
总结
靶场还挺好玩,没有想象中的无聊,但是也没有想象中的刺激。
总之就这么多了,先溜了。
好耶,原来⑨BIE 会弹琴,我也会弹琴(逃(虽然也很久 0 提升了
贴贴.jpg
厉害了!!
靶场没有那种管理员突然上线把你挤掉或者拔你网线或者溯源你的刺激感