简介
靶机名称:Convert
难度:简单
靶机地址:https://hackmyvm.eu/machines/?v=pwned
参考wp:https://hgbe02.github.io/Hackmyvm/Pwned.html
本地环境
kali(2024): 192.168.194.9
靶机:192.168.194.10
扫描
nmap -sS -A 192.168.194.10
80-web服务
根据结果来看,目标开启了21端口的ftp服务,同时也开启了80端口的web服务,先尝试访问网站。
网页上没有其他服务,同时html的注释字段也看不出来是什么提示。那么先尝试扫描网站目录。gobuster dir -u 'http://192.168.194.10' -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt
根据结果,访问几个路径,在hidden_text路径下,看到了secret.dic文件。
下载secret.dic后,用这个新字典进行爆破gobuster dir -u http://192.168.194.10/ -w /root/Desktop/attack/secret.dic
访问爆破出来的url,查看网页html源代码,看到注释部分,写着ftp的用户账密ftpuser/B0ss_B!TcH。
21-ftp服务
结合前面开启的ftp服务,尝试ftp连接。
在ftp服务上,获取到了ssh连接私钥以及连接用户名称ariana
尝试ssh连接成功,获得flag
提权
需要提权,经典的查看查看sudo -l
根据messenger.sh脚本,可以看到,$msg参数部分存在命令执行漏洞。
尝试sudo命令,以selena用户执行脚本。sudo -u selena /home/messenger.sh
成功获取selena用户权限,可以查看到selena用户的flag,证明通过selena用户来提权这一步的思路应该是对的。
根据基础id信息显示,selena在docker用户组中。
docker运行的所有命令都是需要sudo来运行,因为docker需要root权限才能运行。Docker监护进程有一个特性,它能被允许访问root用户或者是在docker组里面的所有用户。这就意味着,有docker 组的权限,可以不需要知道密码就能得到宿主机全部文件的rwx权限,也就相当于获取到了root权限。
根据上面的知识点,我们先查看docker存在的images,然后执行命令docker run -v /:/mnt -i alpine sh
可以看到,通过docker run命令将宿主机文件系统挂载在容器的/mnt目录下后,能够成功看到root用户的flag。
此时,通过对/mnt/root/.ssh/authorized_keys文件进行修改,可以实现root用户的ssh私钥连接,从而实现docker逃逸,获取root权限。
对于docker run命令简单记录下
docker run命令相当于docker create 和docker start两个命令的组合替换
-v: 指定创建的容器中,宿主机目录挂载在容器中的哪个路径下。(/宿主机目录 : /容器目录)
-i: 保持stdin输入的持续开启。也可以指定使用的image的id
-t:是否创建pty类型的模拟终端。linux中tty和pty类型终端,pty类似于ssh等连接的模拟终端,tty则是直接物理连接的终端。
--rm: 退出容器后,自动清空删除容器
chroot: 切换根目录
那么,如果像其他wp一样使用-t参数,则需要先创建一个模拟终端。根据靶机中的环境,可以用python3来获取。python3 -c "import pty;pty.spawn('/bin/bash');"
然后再创建容器实现逃逸。
扫一扫
1032
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
