**
HackTheBox-Linux-Ypuffy-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/154
靶機難度:中級(3.3/10)
靶機發布日期:2019年2月4日
靶機描述:
Ypuffy is medium difficulty machine which highlights the danger of allowing LDAP null sessions. It also features an interesting SSH CA authentication privilege escalation, via the OpenBSD doas command. An additional privilege escalation involving Xorg is also possible.
作者:大餘
時間:2020-06-18
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.107…
Nmap發現開放了SSH,Samba,LDAP和OpenBSD的httpd Web服務…
這裏訪問web拒絕鏈接…無法訪問…
smbmap -H也拒絕訪問…
命令:nmap -p 389 --script ldap-search ypuffy.htb
直接利用nmap枚舉LDAP…發現了uid和password…
直接利用獲得的uid和password進入了smb…
並下載了key…
發現這是key…要將其轉換爲OpenSSH格式,使用puttygen即可…
利用puttygen直接轉換,然後成功ssh登陸到ypuffy用戶權限中,獲得了user_flag信息…
開始http無法訪問,吸引了我注意,我開始枚舉信息…
在httpd.conf發現了location "/userca*"和location “/sshauth*”…home下存在userca目錄…可用於ssh?
可看到該用戶可以以/usr/bin/ssh-keygen的權限運行命令userca,枚舉/home/userca目錄發現目錄中存在ca私有SSH密鑰和ca.pub公共SSH密鑰…
枚舉ssh目錄,查看ssh_config發現了可利用的信息…
curl枚舉,獲得了root的密碼信息…
這裏只需要使用ssh-keygen爲userca創建一個有效的密鑰即可提權…
創建key…
這裏利用了doas命令對密鑰進行了簽名…
然後成功獲得了root權限,並獲得root_flag信息…
LDAP枚舉–ssh提權…
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺中級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。
