​ HTB域渗透Cerberus靶机,由于是国外靶场,提权时连接很不稳定,暂时只进行到获取userflag,后续有时间再玩。

一、端口扫描

sudo nmap -sT –min-rate 10000 -p- 10.10.11.205

sudo nmap -sU –top-ports 20 –open 10.10.11.205

sudo nmap -sT -sCV -A -O -p8080 10.10.11.205

扫描到域名与子域名:icinga.cerberus.local,加入hosts

二、web渗透

  • 直接打开扫描到的连接无果,直接搜索icinga后找到近期爆出的两个cve:CVE-2022-24715、CVE-2022-24716,查看相关介绍CVE-2022-24716是一个LFI漏洞,直接构造url尝试访问passwd

  • 查了一下发现/etc/icingaweb2/resources.ini这个文件是配置文件,读取一下看看

    发现了用户名密码:matthew/IcingaWebPassword2023

  • 目标机器没有开放22端口只开放了8080,没法尝试ssh连接,利用账号密码登录网站后台看看

  • 有了账号密码直接用CVE-2022-24715 RCE

    成功反弹shell

三、linux提权

  • 查看sudo、suid等信息,发现firejail

  • 经搜索发现firejail有一个CVE-2022-31214本地提权漏洞,然后利用这个漏洞提权至root,但是并没有flag

四、域渗透

  • 应为存在域,检查SSSD,目录在/var/lib/sss/db,搜索发现了用户名matthew@cerberus.local和hash

  • 破解一下hash,得到密码:147258369

  • 上传fscan进行内网扫描,发现172.16.22.1机器

  • 上传frp,扫描端口发现5985端口开启,使用winrm连接

  • 切换桌面获取第一个flag