HTB-Seal之Web渗透和用户权限提升详解

引言

HTB-Seal是一台由Hack The Box平台提供的靶机，旨在测试渗透测试人员的Web渗透和权限提升技能。这台靶机具有多层防御措施，需要利用一系列技巧才能成功渗透。本文将详细解析HTB-Seal中的Web渗透和用户权限提升技巧，帮助读者学习如何利用Web漏洞获取系统访问权限并提升权限。

端口信息侦察

首先，使用nmap对靶机进行端口探测，以了解开放的端口及其服务。结果如下：

Port    State Service
22/tcp  open  ssh
80/tcp  open  http
443/tcp open https

由此可知，靶机开放了SSH、HTTP和HTTPS端口。

Web界面探索

接下来，访问靶机的Web界面，发现有两个Web界面，分别如下：

1. Gitbuck：这是一个代码托管平台，用于管理Git仓库。
2. Tomcat管理界面：这是一个用于管理Tomcat服务器的界面。

利用Gitbuck获取敏感信息

在Gitbuck界面中，发现了一个名为“user.txt”的文件。这是一个敏感文件，通常包含用户凭证等信息。尝试访问该文件，发现需要登录才能访问。

在Gitbuck登录页面，发现了一个名为“Remember me”的复选框。选中该复选框，然后使用Burp Suite抓取登录请求包。在请求包中，发现了一个名为“remember-me-token”的Cookie。

将“remember-me-token”Cookie的值复制到一个文本文件中，然后使用Burp Suite发送一个新的登录请求，并将“remember-me-token”Cookie值添加到请求头中。成功登录后，即可访问“user.txt”文件，并获取其中的敏感信息。

利用Tomcat管理界面提权

在Tomcat管理界面中，发现了一个名为“Manager App”的选项。点击该选项，发现了一个文件上传页面。尝试上传一个包含反弹Shell的JSP文件，但被拒绝。

进一步探索发现，Tomcat管理界面存在一个文件包含漏洞。利用该漏洞，可以将一个恶意JSP文件包含到Tomcat服务器中，从而获取系统访问权限。

具体步骤如下：

1. 创建一个包含反弹Shell的JSP文件。
2. 将JSP文件上传到Tomcat服务器的一个临时目录中。
3. 在Tomcat管理界面中，使用文件包含漏洞将恶意JSP文件包含到Tomcat服务器中。
4. 访问恶意JSP文件，即可获取系统访问权限。

权限提升

获取系统访问权限后，发现当前用户为“tomcat”。这是一个非特权用户，需要进一步提升权限才能访问敏感信息。

在靶机上，发现了一个名为“sudo”的命令。该命令允许普通用户以其他用户的身份执行命令。尝试使用“sudo”命令获取root权限，但被拒绝。

进一步探索发现，靶机上存在一个名为“polkit”的特权提升漏洞。利用该漏洞，可以绕过sudo命令的权限检查，从而获取root权限。

具体步骤如下：

1. 创建一个名为“polkit.conf”的文件，并写入以下内容：

polkit.addRule(function(action, subject) {
    if ((action.id == "org.freedesktop.policykit.exec") &&
        (subject.isInGroup("wheel"))) {
        return polkit.Result.YES;
    }
});

2. 将“polkit.conf”文件复制到“/etc/polkit-1/localauthority/50-local.d/”目录中。
3. 使用“sudo”命令获取root权限。

总结

通过以上步骤，成功渗透HTB-Seal靶机，并获取了root权限。本文详细解析了Web渗透和用户权限提升的技巧，帮助读者学习如何利用Web漏洞获取系统访问权限并提升权限。