No.139-HackTheBox-Linux-Carrier-Walkthrough滲透學習

**

HackTheBox-Linux-Carrier-Walkthrough

**

靶機地址：https://www.hackthebox.eu/home/machines/profile/154
靶機難度：高級（5.0/10）
靶機發布日期：2019年3月13日
靶機描述：
Carrier is a medium machine with a unique privilege escalation that involves BGP hijacking. The initial access is pretty straight forward but with a little twist to it.

作者：大餘
時間：2020-06-18

請注意：對於所有這些計算機，我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的，如果列出的技術用於其他任何目標，我概不負責。

一、信息收集

可以看到靶機的IP是10.10.10.105…

nmap發現開放了ssh服務，web80服務，以及一個SNMP端口…

訪問web頁面，出現了一些錯誤Error 45007和Error 45009…任何訪問都存在同樣的錯誤…

爆破發現了一些目錄…
許可證過期，退出…沒啥有用的信息

發現doc包含了兩個文件…diagram_for_tac.png和error_codes.pdf

diagram_for_tac.png的圖表示三個路由器，AS100~300，這是BGP自治系統啊，作爲網絡出身的…一看就明白了
error_codes.pdf文檔包含兩列表，該表提供了各種錯誤代碼的說明，包括錯誤代碼45007以及45009在web登錄頁面上找到的錯誤代碼…
Error 45007中的原因是由於許可證無效或已過期，Error 45009報告尚未設置系統憑據，並且默認admin用戶的密碼是機箱序列號的密碼…

先利用了MSF的snmp_login模塊枚舉了snmp信息…枚舉到正在public內…無權限查看
直接利用snmpwalk工具進行了枚舉，發現了密碼…

利用密碼成功登錄進來…

這裏解釋說存在一些網絡路由問題，並且網絡中存在重要的FTP服務器10.120.15.0/24…上游ISP報告其路由正在泄漏？ISP可能通過BGP錯誤地發佈了路由內容…

這裏發現了quagga目錄下存在路由回顯的信息提示…攔截下看看

攔截髮現了cXVhZ2dh值，這是base64值，轉換後是quagga…

經過測試，只需要吧簡單的shell通過quagga一起轉換成base64值，輸入即可提權…
成功獲得了user_flag信息…

二、提權

ifconfig發現我們不在實際的主機10.10.10.105上，在另一臺主機上…
本機具有三個網絡接口（不包括環回接口lo），eth0: 10.99.64.2/24，eth1: 10.78.10.1/24和eth2: 10.78.11.1/24…

系統的主機名是r1…並查看了arp表…

通過前面提示，在etc目錄下發現了quagga目錄…並一個一個查看裏面的文件…
查看bgpd.conf後…
這是通過vtysh工具進行的配置更改保存的，vtysh是思科操作系統的命令…顯示了r1上bgp的配置信息…
bgp 100是當前所在的自治系統AS 100中，可以參考前面獲得的圖…
10.101.8.0/21和10.101.16.0/21是BGP的鄰居路由環境…分別表示AS 200 和AS 300…
在這裏就可以發現，缺少了10.120.15.0的路由信息…應該是走在AS200和AS300系統內…r1沒有路由拿不到流量信息…

從以上可以看到，目標IP地址爲10.120.15.0-254的流量應發送10.78.11.2與eth2接口相連的目的地…
這裏涉及到BGP的原理：
BGP協議的一部分，如果兩個不同的AS編號（即BGP鄰居）通告了兩條重疊的路由，並且沒有AS前綴，則更具體的路由將被接收到接收者的路由表中…
這裏就存在BGP劫持攻擊行爲，可以將FTP存在的子網段路由轉發到R1中，我們目前在的R1就能查看到FTP的流量包行爲等情況…

進一步查看了10.120.15.0段內的自治系統情況…


會CCIE和HCIE的都非常瞭解有很多方法查看AS環境…這裏也體現了…
爲了就是能讓看到這篇文章的人更深入瞭解下BGP環境…

利用cisco中vtysh特性，添加10.120.15.0路由到r1中…（不理解的硬記，這是網絡基礎知識）

回看成功添加…
這裏可以繼續利用tcpdump -A等命令對子網段中FTP流量經過進行抓包保存在自命名的文件中…
我這裏沒這麼操作…利用tcpdump 的好處是可以直接查看到流量包中的FTP準確的IP，以及流量包中的各種包頭信息…
因爲我的外殼很不穩定，就沒這麼操作…

命令：for i in $(seq 254 $END); do nc -w 1 -vz 10.120.15.$i 21; done
如果不抓包分析流量，就得通過類似ping等方法枚舉出FTP的真實準確IP地址…
獲得了10.120.15.10爲FTP的IP地址…

直接加該IP入組內，意思和ip route add一樣，就是加條靜態路由…這樣路由會將發往10.120.15.10的流量到本地經過…

該環境安裝了nc，只需要nc監聽FTP的21端口即可…
等待了幾秒鐘，獲得了流量中顯示的明文root密碼…

有了密碼後，直接ssh成功登陸root權限…獲得了root_flag信息…

這裏獲得root後，繼續枚舉了…發現前期外殼不穩定，在前期的R1權限下，可以查看到root/.ssh目錄下存在rsa的key信息…可以替換key登陸，獲得穩定些的外殼…

打了將近100臺HTB靶機了…這是第一次遇到網絡協議中BGP高級路由協議的滲透環境…我是HCIE出身，非常興趣和意外的遇到了此靶機，也是很開心的完成了…感謝作者…

由於我們已經成功得到root權限查看user和root.txt，因此完成這臺高級的靶機，希望你們喜歡這臺機器，請繼續關注大餘後期會有更多具有挑戰性的機器，一起練習學習。

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。