目标IP:10.10.10.216
信息搜集
端口扫描
nmap
443端口扫描到两个网站,分别是
https://laboratory.htbhttps://git.laboratory.htb
https://laboratory.htb是一个网页,暂时没什么值得注意的
https://git.laboratory.htb是一个gitlab网站,注册需要@laboratory.htb的邮箱,不知道这个是否对后面渗透测试有所帮助,可以留意一下。
进去后发现https://laboratory.htb的网站源码
sourcecode
get user
源码包括历史里面都没有什么敏感信息
issue里面提到HTTP 418
issue418
简单搜索了一下,418状态码是愚人节拿出来搞人用的
418code
思考一下418状态码是怎么出来的,一时思路僵住。
后来看着看着看到gitlab版本号12.8.1,网上一搜真的有exp
我还在那思考418状态码。。。果然还是被玩了
exp在此
exp还是要根据题目要求进行相应修改的
image.png
搜索了一下gitlab后台密码修改方式,利用了gitlab-rails
getname
成功登陆
dexter的gitlab获取到了id_rsa
id_rsa
最终成功登陆
ssh
get root
LinEnum发现docker-security这个二进制文件有suid
suid特点如下
1. SUID 权限仅对二进制可执行文件有效
2. 如果执行者对于该二进制可执行文件具有 x 的权限,执行者将具有该文件的所有者的权限
3. 本权限仅在执行该二进制可执行文件的过程中有效
docker-security中执行了chmod
执行命令
因此思路就是伪造环境变量,劫持chmod命令,以达到运行自己指令的目的
path
随后将
/tmp目录加入环境变量,运行指令
image.png
get root
