文章总结： 本文档详细记录了Hackable靶机的渗透实战过程。作者通过信息搜集发现端口敲击线索与隐写术隐藏的端口序列，成功开启SSH服务；利用Hydra爆破获取用户权限后，进一步发现Web目录下的敏感凭据；最终利用LXD组特权漏洞，通过挂载镜像实现提权并获取Flag。文章步骤清晰，涵盖了端口隐藏技术破解与权限提升技巧。 综合评分： 86 文章分类： 渗透测试,实战经验,CTF

翻译后先保存下来 css 目录中有2.txt查看内容里面是

现在暂时没有什么其他思路只能从端口敲击功能这入手

通过查阅发现 端口敲击功能 是一种端口隐藏服务，使得目标端口被使用前需要按照 设置好的暗号按次序敲击后才能打开端口，从原理上可以知道，他的通过动态调整防火墙配置来达到影藏端口的功能 通过了解 可以使用命令konck 来敲击端口 之前的文件名上有1.2.3 的次序 按照解密和发现的端口号可以知道 顺序是：10000->4444->65535 使用knock 依次敲击

敲击后可以看到 22端口已经打开 结合现有的需要通过爆破 ssh登录靶机

第二阶段 (密码爆破):

用户名：jubiscleudo 利用hydra 爆破得到密码是onlymy

登录后是低权限用户

查看用户信息

得到新用户 hackable_3

通过查看 web 目录下的 backup_config.php 文件可以看到 密码是TrOLLED_3 登录后查看id 发现竟然是在lxd 组下的LXD 默认允许组内用户以 root 权限挂载主机的任何目录\

第三阶段 (用户提权和flag获取):

利用lxd 进行提权 克隆最小镜像

导入镜像并挂载

cd /tmp
git clone https://github.com/saghul/lxd-alpine-builder/
sed -i 's,yaml_path="latest-stable/releases/$apk_arch/latest-releases.yaml",yaml_path="v3.8/releases/$apk_arch/latest-releases.yaml",' build-alpine
sudo ./build-alpine -a i686
lxc image import ./alpine*.tar.gz --alias myimage
lxd init
lxc init myimage mycontainer -c security.privileged=true
lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true
lxc start mycontainer
lxc exec mycontainer /bin/sh

cd 到/mnt/root/root中就能查看到root.txt 文件 这就是flag

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云晞科技Sec 江南的江 江南的江《Hackable 靶机指南》