HackTheBox - Medium - Linux - Mentor

Mentor

Mentor 是一台中等难度的 Linux 机器,其路径包括在到达 root 之前在四个不同的用户之间切换。使用可暴力破解的社区字符串扫描“SNMP”服务后,会发现用于“API”端点的明文凭据,该端点被证明容易受到盲目远程代码执行的影响,并导致在 docker 容器上站稳脚跟。枚举容器'的网络在另一个容器上显示“PostgreSQL”服务,可以通过使用默认凭据进行身份验证来将其用于 RCE。检查“PostgreSQL”容器上的旧数据库备份会发现一个哈希值,一旦破解,该哈希值将用于“SSH”进入计算机。最后,通过检查主机上的配置文件,攻击者能够检索用户“james”的密码,该用户能够以 sudo 权限运行“/bin/sh”命令,从而立即丧失“root”权限。


外部信息收集

端口扫描

循例nmap

HackTheBox - Medium - Linux - Mentor_第1张图片

HackTheBox - Medium - Linux - Mentor_第2张图片

Web枚举

HackTheBox - Medium - Linux - Mentor_第3张图片

ffuf扫vhost

api子域

HackTheBox - Medium - Linux - Mentor_第4张图片

feroxbuster扫一下

/docs

HackTheBox - Medium - Linux - Mentor_第5张图片

/openapi.json

HackTheBox - Medium - Linux - Mentor_第6张图片

SNMP

snmpbrute

跑snmpbulkwalk

snmpbulkwalk -v 2c -c internal 10.10.11.193 > ./res

HackTheBox - Medium - Linux - Mentor_第7张图片

Foothold

login.py后的参数大概就是密码,前面给了james

HackTheBox - Medium - Linux - Mentor_第8张图片

前面的/admin还有两个端点

file

在/admin/backup中存在blind rce

HackTheBox - Medium - Linux - Mentor_第9张图片

reverse shell

HackTheBox - Medium - Linux - Mentor_第10张图片

Docker逃逸

app/目录

HackTheBox - Medium - Linux - Mentor_第11张图片

这里有一组数据库的凭据

HackTheBox - Medium - Linux - Mentor_第12张图片

chisel把postgresql转出来

攻击机

HackTheBox - Medium - Linux - Mentor_第13张图片

目标机器

file

通过那组凭据,我们能够进入数据库

HackTheBox - Medium - Linux - Mentor_第14张图片

有三个表

HackTheBox - Medium - Linux - Mentor_第15张图片

users表有两个hash

HackTheBox - Medium - Linux - Mentor_第16张图片

CrackStation爆出来一个,即svc的

HackTheBox - Medium - Linux - Mentor_第17张图片

我们能够通过这组凭据来登录ssh

HackTheBox - Medium - Linux - Mentor_第18张图片

本地横向移动 -> james

跑linpeas

file

/etc/snmpd.conf里有一组密码

HackTheBox - Medium - Linux - Mentor_第19张图片

这密码是james的

HackTheBox - Medium - Linux - Mentor_第20张图片

本地权限提升

sudo -l

HackTheBox - Medium - Linux - Mentor_第21张图片

它会向我们妥协

HackTheBox - Medium - Linux - Mentor_第22张图片

你可能感兴趣的:(HackTheBox,HackTheBox,网络安全,linux渗透测试,配置错误)