banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

htb靶場-Shoppy

image

ip:10.10.11.180

信息收集#

端口開放情況#

利用nmap進行端口掃描

nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.180

發現的端口:22,80,9093

image

80 跳轉到http://shoppy.htb

修改 hosts 文件,添加解析

image

訪問http://shoppy.htb/,首頁如下:

image

域名情況#

既然有域名,就看看虛擬主機掃描能掃出什麼東西。

gobuster vhost -u shoppy.htb -w /Users/grayash/pentesting/web-basic/p12-字典收集/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 50

image

找到一個虛擬主機子域

mattermost.shoppy.htb

mattermost.shoppy.htb添加到 hosts 文件中解析。

瀏覽器訪問後,界面如下:

image

利用ffuf對 shoppy.htb 進行敏感目錄及文件遍歷。

.\ffuf.exe -w .\fuzz1.txt -u http://shoppy.htb/FUZZ

image

簡單測試了下,這個登錄框無 POST 鏈接。

當輸入 admin' or '1'='1 程序會無響應,輸入 admin' || '1=1 可以繞過後臺登錄,這個語句是 Nosql 的語句,所以這是一個 [[Nosql 注入]] 登錄繞過。

image

在搜索框中輸入同樣的 payload:admin' || '1=1

image

查看 json 文件,內容如下,包括了賬號密碼,密碼是 md5 加密了。

image

利用 [[john]] 破解 hash

john --wordlist=rockyou.txt --format=Raw-MD5  passwd.txt

image

remembermethisway

利用爆破出的密碼登錄 mattermost.shoppy.htb

賬號密碼為:

josh:remembermethisway

mattermost.shoppy.htb 網站是一個聊天程序,後臺建立了很多個頻道,在一個頻道中找到了賬號密碼,通過分析應該是 10.10.11.180 服務器的密碼,嘗試 ssh 登錄。

image

username: jaeger 
password: Sh0ppyBest@pp!

image

找到第一個 flag,user.txt。

通過 sudo -l 可以查看當前用戶可以以 root 身份運行的程序。

image

/home/deploy/password-manager

image

Welcome to Josh password manager!Please enter your master password: SampleAccess granted! Here is creds !cat /home/deploy/creds.txtAccess denied! This incident will be reported !

SampleAccess granted! 所以 Sample 是主密碼,通過這個程序就可以看到主密碼。

就找到了 deploy 的密碼。

image

username: deploy
password: Deploying@pp!

同樣的方式,ssh 登錄 deploy 賬號。

image

權限提升#

通過頻道的聊天記錄可以知道,服務器是 docker 部署的。

image

通過https://gtfobins.github.io/gtfobins/docker/ 網站找到 docker 權限提升的 payload,通過 docker 可以獲取一個交互式 shell。

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

運行後就是 root 權限。

image

獲取 /root 目錄下的 flag。

知識點#

  • 信息收集能力
  • 虛擬主機、md5 密碼破解的能力
  • 權限提升能力

參考#

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。