请注意，本文编写于 1505 天前，最后修改于 1504 天前，其中某些信息可能已经过时。

前言

昨天才开的坑，今天就开始摸鱼了。。在家里练琴练了一天。。。等等，好像练琴才是我的专业来着？不管了

于是乎，练了无聊了，就突然叫九世有没有啥靶场玩，然后九世九发来了个 htb

开始

注册 htb 这些啥的就不说了，就是 js 泄露一个 api 然后 post 就行注册。

之后直接下载 ovpn 进他们内网直接打靶场

history.png

经理了各种奇怪的东西，我们终于连上了。

开打

直接对着目标，御剑 s 扫描器走起

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

IP:10.10.10.215
 
portscan:
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
 
 
webinfo:
http://academy.htb/ [200 OK] Apache[2.4.41], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.41 (Ubuntu)], IP[10.10.10.215], Title[Hack The Box Academy]
 
 
WebPath:
/Images
/server-status
/login.php
/register.php
/admin.php

photo_2021-02-19_23-12-47.jpg

初步断定就开个 web，好的直接访问 web。。。

跳转到一个域名然后显示 dns 访问失败。

手动加一下 hosts

10.10.10.215 academy.htb

之后就可以进 web 了。

QQ截图20210219231502.png

对着对着上面御剑出来的结果，先去 register.php 注册个用户。

然后登录，登陆后界面如下

web.png

稍微看了下，似乎是一个成熟的 cms，唯一比较可疑的就是 url。这时候我们先不深挖，把这个放到一边

然后我们去看 admin.php 和 server-status 这两个

其中 server-status403 了，也不管，admin.php 弱口令走起，admin / admin。

3.png

洋文不好我也不知道进没进去，但是我发现了一个新的资产

dev-staging-01，访问了下，一眼就看出是 larvaral，还是开启的 debug。

la那啥来着.png

这时候，脑内直接 biu 出几个 lar 那啥我不会拼的 RCE，最后对照

rce1.png

rce2.png

直接秒掉

getshell.png

用时不到十分钟

提权

摸了会儿鱼（

系统版本是
`Linux academy 5.4.0-52-generic #57-Ubuntu SMP Thu Oct 15 10:57:00
UTC 2020 x86_64 x86_64 x86_64 GNU/Linux`

看样子很新，脑内想不出啥 exp

然后 mysql 权限也不高，查看 /home 的时候，发现了

home.jpg

结合后台登陆后的

1	`Complete initial set of modules (cry0l1t3 / mrb3n)`

这时候基本已经猜到了攻击流程。

liucheng.png

虽然不知道是否正确，但是按照这个思路走走看

数据库 tmd 一读（然而其实是在 web 目录下的.env 的配置文件读到密码）。ssh 就这么一登（撞了好几个用户）。

哟西，上去了，然而和预想有点偏差。。

rua.png

这时候我才发现分为user flag和root flag。那是我太天真了。

那接下来就是继续提权去拿 root flag 了。

接下来就是漫长的提权之旅。。

因为我的 jio 本不知道为啥跑不起来。。于是乎我就先手动看看，想着之后再跑自动收集 jio 本也就是

https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite

如何提权？高权进程 SUID 自运行脚本日志以及文件劫持等等。。。

其中，我发现 tmp 下有奇怪的 tmp 文件，里面有 composer.json 文件。。然后还不放你访问，一看用户是 mrb3n。

这个用户再 passwd 中 id 比我们前一号，并且之前 web 页面也出现这个用户，所以基本断定要先登录这个用户了。。

正在我一筹莫展想着咋过去时，九世出了个好消息

hxx.png

成功用 jio 本收集到了 mrb3n 用户的密码

然后还有提示

sudo.jpg

基本提权方式就是，https://gtfobins.github.io/gtfobins/composer/

finish.png

自此基本结束

双双和九世拿着 flag 把家还，呸，各回各家，各找各妈

总结

靶场还挺好玩，没有想象中的无聊，但是也没有想象中的刺激。

总之就这么多了，先溜了。

OωO

OωO
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
（╯‵□′）╯︵┴─┴
￣﹃￣
(/ω＼)
∠( ᐛ 」∠)＿
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ｀)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ(￣∇￣o)
ヾ(´･･｀｡)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò｡)
Σ(っ °Д °;)っ
( ,,´･ω･)ﾉ"(´っω･｀｡)
╮(╯▽╰)╭
o(*////▽////*)q
＞﹏＜
( ๑´•ω•) "(ㆆᴗㆆ)
(｡•ˇ‸ˇ•｡)

颜文字
阿鲁
泡泡
Emoji

有回复时通知我

已有 3 条评论

Guoguo

2022-06-14 09:00

好耶，原来⑨BIE 会弹琴，我也会弹琴（逃（虽然也很久 0 提升了
贴贴.jpg

回复

夏目贵志

2021-02-20 19:59

厉害了！！

回复

Archeb

2021-02-20 16:47

靶场没有那种管理员突然上线把你挤掉或者拔你网线或者溯源你的刺激感

回复