**
HackTheBox-Linux-Waldo-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/149
靶機難度:高級(5.0/10)
靶機發布日期:2018年12月12日
靶機描述:
Waldo is a medium difficulty machine, which highlights the risk of insufficient input validation, provides the challenge of rbash escape or bypassing, and showcases an interesting privilege escalation vector involving Linux Capabilities, all of which may be found in real environments.
作者:大餘
時間:2020-06-15
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.87…
nmap發現僅開放了ssh和apache服務…
訪問發現頁面具有刪除,寫入簡單權限…
利用burpsuit攔截分析…
早fileRead.php頁面下,具有查看功能…存在目錄遍歷漏洞
繼續嘗試測試…
果然…讀取到了目錄信息…
進一步查看存在rsa信息…
但是進行讀取後,無法讀取,dirRead.php只有查看目錄信息…無法查看文件內容
繼續攔截查看,還存在fileRead.php頁面…
該頁面也存在目錄遍歷漏洞…
輸出file內容…
嘗試將path內容複製試試…讀取到了key信息…
由於key具有/\n等符號,我利用curl進行了簡化…獲得了key
這裏較簡單,利用好burpsuit很快就能讀取到信息…
通過ssh_key成功登陸獲得user_flag信息…
由於nobody位於容器中…可以使用相同的key在nobody本地ssh登陸到monitor權限中…
發現只有幾個功能命令使用…
由於限制太大,我直接上傳Linenum枚舉了信息…
我發現沒有設置SUID位…就能在v0.1目錄文件中能夠讀取日誌信息…
繼續查看了getcap…發現cap_dac_read_search+ei…這就解釋清楚了,該cap_dac_read_search+ei功能用於Bypass file read permission checks and directory read and execute permission checks…所以文件具有此權限它可以讀取任何內容…
進一步查看getcap,發現了tac…
查看了tac功能…
嘗試讀取root信息…成功獲得了root_flag信息…
這臺難度高的靶機,主要難點在目錄遍歷和內部信息枚舉發現…
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺高級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。