- 靶机 ip:10.10.11.227
- 本机 ip:10.10.14.68
0x01 信息收集#
nmap 端口扫描
开放了 80 端口和 22 号端口
访问 80 端口页面如下:
设置 hosts 文件解析域名
访问http://tickets.keeper.htb/,可以看到如下页面
0x02 漏洞利用#
根据页面的一些提示,搜索 “Best Practical Solutions, LLC username password”,找到了官网的文档
默认密码如上图中为 root/password,尝试登录下。
需要多尝试登录几次,才能登录成功。
有两个用户
lnorgaard 的密码为New user. Initial password set to Welcome2023!
登录这个帐号看看
发现一个 keepass 的 issue
告诉我们 keepass 客户端有问题
下载附件
操作了半天也下载不了,尝试通过 lnorgaard/Welcome2023! 登录 ssh 试试。
成功登录
获取到 user.txt
0x03 权限提升#
由上图可知,除了 user.txt,还存在三个文件,KeePassDumpFull.dmp RT30000.zip passcodes.kdbx
登录 sftp 下载这三个文件
RT30000.zip 压缩包中的内容
通过应用程序打开,需要账户密码登录
按这种给了 dmp 文件的情况下,通常是可以从 dmp 文件提取密码,尝试 mimikatz dump 密码,失败。
尝试搜索发现,keepass 存在一个检索主密码的漏洞,漏洞编号为 CVE-2023-32784。
github 找找 poc
Retrieve the master password of a keepass database <= 2.53.1
输出的内容如下:
Possible password: ●Mdgr●d med fl●de
尝试 google 搜索
rødgrød med fløde
尝试这个密码打开 kbdx 文件
找到了 root 的密码和 key
将上述 key 文件保存为 txt,然后通过 puttygen 转成 ssh 证书登录。
puttygen 工具需要安装 putty
mac 下安装 putty
brew install putty
然后执行下述命令生成 keeper.pem 文件
puttygen 123.txt -O private-openssh -o keeper.pem
给权限连接
chmod 600 keeper.per
ssh [email protected] -i keeper.pem
连接成功 root 权限,获取 root.txt
0x04 结论#
- ssh 登录获取 user.txt 是没想到的
- 学习 keepass 漏洞获取主密钥