HTB-靶机-Waldo

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.87

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.87 -o ./Waldo-autorecon

就开放了两个端口,访问web应用看看

没发现啥信息,看看网页源码

看到一个list.js文件访问下

经过测试可以通过以下方式绕过,直接读取目录和文件

开始读文件

 

读取到密钥直接使用密钥登录目标靶机

curl -s -X POST -d "file=....//....//....//home/nobody/.ssh/.monitor" http://10.10.10.87/fileRead.php | jq -r .file > id_rsa

使用nobody用户登录成功之后,试试monitor这个用户在本地进行登录,发现有rbash限制,于是加上-t参数直接绕过限制

登录进去发现还是有写命令执行不了,怀疑是全局环境变量的缘故导致,便添加全局环境变量

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH

通过执行当前目录下的文件发现有一个文件可以读取root远程登录的日志内容

由此可判断存在capabilities 具体详情查看:

https://www.insecure.ws/linux/getcap_setcap.html
https://www.hrwhisper.me/introduction-to-linux-capability/

得知tac命令没有权限限制,可直接读取任何文件

posted @ 2020-12-11 16:29  皇帽讲绿帽带法技巧  阅读(118)  评论(0编辑  收藏  举报