TryHackMe房间之Billing

发表于2025-05-09|更新于2025-05-09

|浏览量:

TryHackMe房间之Billing

总结

从没见过的fail2ban提权，不过倒是启发了以后寻找提权点的思路

找一些自己有权限修改，且以高权限用户身份运行的文件或者服务

流程记录

扫端口情况如下

对80端口扫描目录

只扫到个robots.txt

直接访问页面，发现就在/mbilling下，于是dirsearch再扫一下

找到一个readme

在readme里面找到了版本号

搜索发现存在历史漏洞

https://github.com/tinashelorenzi/CVE-2023-30258-magnus-billing-v7-exploit

用exp直接拿到shell

找到user.txt，在/home/magnus下

接下来就是权限提升的环节

先sudo -l查看一下

发现我们能够以root权限执行fail2ban

Fail2ban是一个入侵防御软件框架。Fail2Ban 能够降低错误身份验证尝试的速率，但它无法消除弱身份验证带来的风险。如果确实要保护服务，请将服务配置为仅使用两个因素或公共/私有身份验证机制。

到/usr/bin中找到fail2ban相关信息

尝试sudo执行fail2ban-client，弹出help来

上网查找了一下用法

https://wangdoc.com/ssh/fail2ban

1	sudo /usr/bin/fail2ban-client status

查看监控的目标

查看监控目标sshd的详细情况

1	sudo /usr/bin/fail2ban-client status sshd

接着我们尝试获取监控我们用户的asterisk-iptables的actions，这个actions就是我们会触发的动作

1	sudo /usr/bin/fail2ban-client get asterisk-iptables actions

我们就可以尝试添加一个actionban，当我们触发的时候，给我们提供一个root权限的shell

这时候我们就可以随便ban一个ip，以此获得root权限的shell

1	sudo /usr/bin/fail2ban-client set asterisk-iptables banip 1.1.1.2

文章作者: deCOLE

文章链接: http://example.com/2025/05/09/TryHackMe%E6%88%BF%E9%97%B4%E4%B9%8BBilling/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 deCOLE's Blog！

相关推荐

TryHackMe房间之Enterprise

TryHackMe房间之Reset

TryHackMe房间之Reset总结对smb还是有点不熟悉，没想到这个smb共享也能打一波强制身份验证来获取哈希，学到了还有就是bloodhound的使用不够熟练流程记录rustscan扫描结果如下 enum4linux 枚举发现用crackmapexec枚举smb，发现域名添加到/etc/hosts中再用smbclient枚举一下用空密码尝试连接，发现Data下的onboarding文件夹有一些文件下载到本地发现里面是一些介绍公司相关的？英语不太好在第一个pdf里面看到了一个欢迎的email内容示例，得到初始密码：RessetMe123! 所以接下来的思路应该就是：枚举用户然后用初始密码进行密码喷洒这里靶机中断了，因此ip变动一下注意到共享文件夹里面的文件会发生变动，这意味着域内用户会访问这个共享文件夹于是我们便可以在这个文件夹中添加一个恶意文件，用户在读取文件时进行强制身份验证，以此来获取ntlm...

TryHackMe房间之Persisting Active Directory

TryHackMe房间之Persisting Active Directory通过凭据进行权限维持获得了域管理员凭据后，我们就可以用特权凭据对低权限凭据进行“降维打击” 通过高权限用户凭据来实现对低权限用户的权限维持 DC同步大型组织中，每个域只有一个域控是不够的，一般会采用多个域控来提高身份验证服务的效率于是，如何在两个不同的办公室使用相同的凭据进行身份验证成为了一个问题这里涉及到一个域复制的知识点每个域控都运行着一个叫做KCC的进程，也就是知识一致性检查器（Knowledge Consistency Checker） KCC的作用就是：为AD林生成复制拓扑，并且通过RPC**（**远程过程调用）自动连接到其他域控，以此同步信息这也就解释了之前我们在上一个Exploiting AD房间里，更改密码后需要等待几分钟才能进行身份验证，这是因为负责更改密码的域控和我们进行身份验证的域控不是同一个复制过程称为 DC 同步。不仅仅是 DC 可以启动复制。属于 Domain Admins...

Windows权限提升

Windows权限提升常见获取密码方式无人值守的 Windows 安装在大量主机上安装 Windows 时，管理员可以使用 Windows 部署服务，该服务允许通过网络将单个操作系统映像部署到多个主机。这些类型的安装称为无人值守安装，因为它们不需要用户交互。此类安装需要使用管理员帐户执行初始设置，最终可能会存储在计算机的以下位置： 12345目录:\无人参与.xmlC:\Windows\Panther\Unattend.xmlC:\Windows\Panther\Unattend\Unattend.xml系统信息文件夹:\Windows\system32\sysprep.infC:\Windows\system32\sysprep\sysprep.xml 作为这些文件的一部分，您可能会遇到凭证： 12345<Credentials> <Username>Administrator</Username> <Domain>thm.local</Domain> ...

Windows内部进程（Processes）每个进程都提供执行程序所需要的资源进程具有虚拟空间、可执行代码、系统对象的开放句柄、安全上下文、唯一进程标识符、环境变量、优先级类、最小和最大工作及大小、至少一个执行线程每个进程都用单个线程（通常称为主线程）启动，但可以从其任何线程创建其他线程进程组件作用私有虚拟地址空间为进程分配虚拟内存地址可执行程序定义存储在虚拟地址空间中的代码和数据开放句柄定义进程可以访问的系统资源的句柄安全上下文访问令牌，定义用户、权限和其他安全信息进程ID 进程的唯一数字标识符线程计划执行的进程部分从更底层的层面来看，也就是从虚拟地址空间一层面来解释进程进程在内存中的组件和用途大概如下组件用途代码(Code) 提供进程执行的代码全局变量(Global Variables) 存储的变量进程堆（Process Heap）定义数据存储的堆进程资源(Process Resources) 定义进程的更多资源环境块（Environment...

Windows权限维持

Windows权限维持篡改非特权账户分配组成员资格在这部分任务中，我们假设的前提是：攻击者已经转储了受害者机器的hash,并成功破解了所使用的非特权账户的密码使得非特权用户能获得管理权限的最直接的方法就是:使其成为Administrators组的一部分命令如下： 1net localgroup administrators thmuser0 /add 这将允许我们使用RDP、WinRM或者其他任何可用的远程管理服务，来访问服务器为了降低可疑程度，可用Backup Operators组此组中的用户将没有管理权限，但是可用读取、写入系统上的任何文件或注册表项，并且忽略任何已配置的DACL。这样我们就可以复制SAM和SYSTEM注册表配置单元的内容，然后恢复所有用户的密码hash，从而使得我们能升到Administrator 在此之前首先我们要将账户添加到Backup Operators组 1C:\> net localgroup "Backup Operators" thmuser1...