2021-02-23 HTB Laboratory Walkthrough

目标IP：10.10.10.216

信息搜集

端口扫描

nmap

443端口扫描到两个网站，分别是
https://laboratory.htb
https://git.laboratory.htb

https://laboratory.htb是一个网页，暂时没什么值得注意的
https://git.laboratory.htb是一个gitlab网站，注册需要@laboratory.htb的邮箱，不知道这个是否对后面渗透测试有所帮助，可以留意一下。
进去后发现https://laboratory.htb的网站源码

sourcecode

get user

源码包括历史里面都没有什么敏感信息
issue里面提到HTTP 418

issue418

简单搜索了一下，418状态码是愚人节拿出来搞人用的

418code

思考一下418状态码是怎么出来的，一时思路僵住。
后来看着看着看到gitlab版本号12.8.1，网上一搜真的有exp
我还在那思考418状态码。。。果然还是被玩了
exp在此
exp还是要根据题目要求进行相应修改的

image.png

搜索了一下gitlab后台密码修改方式，利用了gitlab-rails

getname

成功登陆dexter的gitlab
获取到了id_rsa

id_rsa

最终成功登陆

ssh

get root

LinEnum发现docker-security这个二进制文件有suid
suid特点如下

1. SUID 权限仅对二进制可执行文件有效
2. 如果执行者对于该二进制可执行文件具有 x 的权限，执行者将具有该文件的所有者的权限
3. 本权限仅在执行该二进制可执行文件的过程中有效 

docker-security中执行了chmod

执行命令

因此思路就是伪造环境变量，劫持chmod命令，以达到运行自己指令的目的

path

随后将/tmp目录加入环境变量，运行指令

image.png

get root