**
HackTheBox-Linux-Zipper-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/159
靶機難度:中級(4.0/10)
靶機發布日期:2019年2月18日
靶機描述:
Zipper is a medium difficulty machine that highlights how privileged API access can be leveraged to gain RCE, and the risk of unauthenticated agent access. It also provides an interesting challenge in terms of overcoming command processing timeouts, and also highlights the dangers of not specifying absolute paths in privileged admin scripts/binaries.
作者:大餘
時間:2020-06-22
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.108…
nmap發現開放了ssh和apache服務,還開放了10050端口,google查找該端口與Zabbix代理相關聯…Zabbix是一種開源監視軟件工具,是監視一系列網絡,設備和服務…
訪問apache頁面…
爆破發現了zabbix目錄…果然對稱了10050端口
這是登陸頁面…可以直接查看監控狀態
進入這是個監控狀態,提供了監控指標,其中包括網絡利用率,CPU負載和磁盤空間消耗等…
Zapper’s Backup Script,這裏提供了用戶zapper…
使用默認zapper賬號密碼登陸報:GUI access disabled…
這裏google搜索提示存在zabbix漏洞…
在監控狀態下,ping發現了api漏洞…hostid=10050
本地搜索,可以嘗試利用39937.py漏洞進行提權…
下載到本地…
按照EXP簡單修改下即可…
執行後成功利用…
由於EXP外殼極不穩定,直接利用shell提權…
枚舉後通過dockerenv根目錄,發現目前在容器中,在zabbix一些配置文件中發現了重要信息…
獲得了密碼…測試發現這是mysql的密碼…通過數據庫枚舉,發現這是admin頁面密碼…
通過admin登陸到頁面中…
zabbix監視系統,多搜索點資料瞭解下…
創建Script然後寫入perl_shell提權即可…這裏嘗試過別的shell,幾分鐘或者幾秒鐘就自動失效了…perl最穩定
執行提shell外殼…
通過administrator獲得shell後,還是無法讀取user_flag信息…發現了zapper用戶下存在了一些文件…
繼續枚舉utils目錄,發現了密碼…
嘗試su提權,成功在zabbix外殼下提升到了zapper…
LinEnum枚舉靶機信息…發現了SUID裏有可提權root信息…這裏主要匹配了:find /home/zapper/utils -perm -4000
這裏測試了發現該程序控制着zabbix的服務…利用strings也能看出現象…
我這裏直觀的截圖,在靶機本地利用了ltrace檢查文件函數情況…
systemctl daemon-reload && systemctl start zabbix-agent是以root用戶身份執行着…
這裏可以寫shell,命名systemctl即可…替代執行
本地我沒有stty,直接本地上傳,添加變量即可…成功獲得了root權限…並獲得了root_flag信息…
信息收集目錄爆破–zabbix漏洞EXP利用–表單注入提權–文件逆向提權
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺中級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。