HackTheBox-Linux-Zipper-Walkthrough

靶机地址：https://www.hackthebox.eu/home/machines/profile/159
靶机难度：中级（4.0/10）
靶机发布日期：2019年2月18日
靶机描述：
Zipper is a medium difficulty machine that highlights how privileged API access can be leveraged to gain RCE, and the risk of unauthenticated agent access. It also provides an interesting challenge in terms of overcoming command processing timeouts, and also highlights the dangers of not specifying absolute paths in privileged admin scripts/binaries.

作者：大余
时间：2020-06-22

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.108…

nmap发现开放了ssh和apache服务，还开放了10050端口，google查找该端口与Zabbix代理相关联…Zabbix是一种开源监视软件工具，是监视一系列网络，设备和服务…

访问apache页面…

爆破发现了zabbix目录…果然对称了10050端口

这是登陆页面…可以直接查看监控状态

进入这是个监控状态，提供了监控指标，其中包括网络利用率，CPU负载和磁盘空间消耗等…

Zapper’s Backup Script，这里提供了用户zapper…

使用默认zapper账号密码登陆报：GUI access disabled…
这里google搜索提示存在zabbix漏洞…

在监控状态下，ping发现了api漏洞…hostid=10050

本地搜索，可以尝试利用39937.py漏洞进行提权…
下载到本地…

按照EXP简单修改下即可…

执行后成功利用…

由于EXP外壳极不稳定，直接利用shell提权…
枚举后通过dockerenv根目录，发现目前在容器中，在zabbix一些配置文件中发现了重要信息…

获得了密码…测试发现这是mysql的密码…通过数据库枚举，发现这是admin页面密码…

通过admin登陆到页面中…

zabbix监视系统，多搜索点资料了解下…
创建Script然后写入perl_shell提权即可…这里尝试过别的shell，几分钟或者几秒钟就自动失效了…perl最稳定

执行提shell外壳…

通过administrator获得shell后，还是无法读取user_flag信息…发现了zapper用户下存在了一些文件…

继续枚举utils目录，发现了密码…

尝试su提权，成功在zabbix外壳下提升到了zapper…

LinEnum枚举靶机信息…发现了SUID里有可提权root信息…这里主要匹配了：find /home/zapper/utils -perm -4000

这里测试了发现该程序控制着zabbix的服务…利用strings也能看出现象…

我这里直观的截图，在靶机本地利用了ltrace检查文件函数情况…
systemctl daemon-reload && systemctl start zabbix-agent是以root用户身份执行着…

这里可以写shell，命名systemctl即可…替代执行

本地我没有stty，直接本地上传，添加变量即可…成功获得了root权限…并获得了root_flag信息…