Saya terus menerbitkan solusi yang dikirim ke penyelesaian mesin dari situs HackTheBox .
Pada artikel ini, mari dapatkan RCE di Tomcat, hancurkan arsip zip, dan tingkatkan hak istimewa menggunakan LXD.
Informasi organisasi
Pengintai
Mesin ini memiliki alamat IP 10.10.10.194, yang saya tambahkan ke / etc / hosts.
10.10.10.194 tabby.htbLangkah pertama adalah memindai port yang terbuka. Saya melakukan ini menggunakan skrip berikut, yang mengambil satu argumen - alamat host yang dipindai:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1
Pilihannya kecil, mari kita mulai dengan port 80, tempat situs berikutnya menemui kita.
Melihat-lihat di situs, kami mencatat sendiri cara yang menarik untuk menampilkan berita (dengan sedikit LFI).
Dan juga tambahkan entri lain ke / etc / hosts.
10.10.10.194 megahosting.htbMari kita periksa apakah LFI tersedia, saya menggunakan LFISuite untuk itu.
Dan kami menemukan LFI. Karena kita tidak mendapatkan lebih banyak, ayo pergi ke port 8080. Di sana kita disambut oleh halaman dimana kita mengetahui bahwa Tomcat sedang digunakan.
Kami menarik perhatian Anda ke file yang menarik. Mengklik tautan lain, Anda akan disambut dengan jendela otentikasi HTTP. Mari baca file yang diberikan /usr/share/tomcat9/etc/tomcat-users.xml.
Dan ada kredensial yang dapat digunakan untuk masuk. Dari sini kita bisa mendapatkan RCE menggunakan modul tomcat_mgr_deploy.
Mari kita atur parameter yang dibutuhkan.
Dan kami mendapatkan kesalahan jalur file.
Titik masuk
Setelah sedikit mengembara, kami menemukan bantuan, yang berisi direktori teks.
Mari kita tunjukkan jalan ini.
Dan kami mendapatkan sesi meterpreter. Untuk melakukan pengintaian dengan cepat, mari jatuhkan skrip LinPEAS pada host dan jalankan.
Dengan menganalisis hasilnya secara cermat, kami menemukan file yang menarik.
PENGGUNA
Unduh dan coba buka. Tapi kami dimintai kata sandi.
Mari kita coba mengulanginya.
fcrackzip -D -p ../tools/rockyou.txt 16162020_backup.zip
Dan kami menemukan kata sandi yang mungkin. Tidak ada yang menarik dalam arsip itu sendiri, tetapi ini adalah kata sandi dari pengguna yang dibuat di sistem.
Untuk koneksi yang nyaman, mari buat kunci SSH.
AKAR
Mari terhubung melalui SSH menggunakan kunci pribadi dan melihat bahwa pengguna ada di grup lxd.
LXD adalah manajer kontainer sistem. Ini menawarkan antarmuka pengguna yang mirip dengan mesin virtual, tetapi menggunakan wadah Linux sebagai gantinya.
Kernel LXD adalah daemon dengan hak istimewa yang mengekspos REST API melalui soket unix lokal, serta melalui jaringan jika dikonfigurasi untuk melakukannya. Klien seperti alat baris perintah yang disertakan dengan LXD mengirim permintaan melalui REST API ini. Ini berarti bahwa terlepas dari apakah Anda mengakses host lokal atau remote, semuanya bekerja sama.
Tetapi kita dapat menjalankan perintah melaluinya, yaitu sebagai root. Untuk ini kita membutuhkan perangkat lunak berikut, unduh dan buat sumber. Unggah gambar yang dihasilkan ke host jarak jauh. Dan setelah bagian persiapan, kami mengimpor file gambar yang kompatibel dengan lxd.
lxc image import ./alpine-v3.12-x86_64-20200810_0015.tar.gz --alias ralf
Kami diberitahu bahwa itu harus diinisialisasi terlebih dahulu, tetapi ini bisa dilakukan nanti. Pastikan gambar dimuat.
lxc image list
Sekarang mari kita inisialisasi.
Mari buat wadah dengan gambar dan nama.
lxc init ralf ignite -c security.privileged=trueDan kami akan mengatur konfigurasi di mana disk akan dipasang sebagai / mnt / root.
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=trueLuncurkan dan jalankan.
lxc start ignite
lxc exec ignite /bin/sh
Dan kami memiliki hak root.
Anda dapat bergabung dengan kami di Telegram . Di sana Anda bisa menemukan materi menarik, bocoran kursus, dan software. Mari kita kumpulkan komunitas yang di dalamnya akan ada orang-orang yang berpengalaman dalam banyak bidang TI, kemudian kita selalu dapat saling membantu dalam setiap masalah TI dan keamanan informasi.