- 靶机 ip:10.10.11.227
- 本机 ip:10.10.14.68
0x01 信息收集#
nmap 端口扫描
開放了 80 端口和 22 號端口
訪問 80 端口頁面如下:
設置 hosts 文件解析域名
訪問http://tickets.keeper.htb/,可以看到如下頁面
0x02 漏洞利用#
根據頁面的一些提示,搜索 “Best Practical Solutions, LLC username password”,找到了官網的文檔
默認密碼如上圖中為 root/password,嘗試登錄下。
需要多嘗試登錄幾次,才能登錄成功。
有兩個用戶
lnorgaard 的密碼為New user. Initial password set to Welcome2023!
登錄這個帳號看看
發現一個 keepass 的 issue
告訴我們 keepass 客戶端有問題
下載附件
操作了半天也下載不了,嘗試通過 lnorgaard/Welcome2023! 登錄 ssh 試試。
成功登錄
獲取到 user.txt
0x03 權限提升#
由上圖可知,除了 user.txt,還存在三個文件,KeePassDumpFull.dmp RT30000.zip passcodes.kdbx
登錄 sftp 下載這三個文件
RT30000.zip 壓縮包中的內容
通過應用程序打開,需要帳戶密碼登錄
按這種給了 dmp 文件的情況下,通常是可以從 dmp 文件提取密碼,嘗試 mimikatz dump 密碼,失敗。
嘗試搜索發現,keepass 存在一個檢索主密碼的漏洞,漏洞編號為 CVE-2023-32784。
github 找找 poc
Retrieve the master password of a keepass database <= 2.53.1
輸出的內容如下:
Possible password: ●Mdgr●d med fl●de
嘗試 google 搜索
rødgrød med fløde
嘗試這個密碼打開 kbdx 文件
找到了 root 的密碼和 key
將上述 key 文件保存為 txt,然後通過 puttygen 轉成 ssh 證書登錄。
puttygen 工具需要安裝 putty
mac 下安裝 putty
brew install putty
然後執行下述命令生成 keeper.pem 文件
puttygen 123.txt -O private-openssh -o keeper.pem
給權限連接
chmod 600 keeper.per
ssh [email protected] -i keeper.pem
連接成功 root 權限,獲取 root.txt
0x04 結論#
- ssh 登錄獲取 user.txt 是沒想到的
- 學習 keepass 漏洞獲取主密鑰