0x01 信息收集
使用nmap端口扫描:
nmap -sS -sV -A 10.10.10.222
扫描可知开放22,80端口,linux操作系统,使用浏览器访问80端口
0x02漏洞利用
点击contcat us,翻译出来就是:对于未注册的用户,请使用我们的帮助台与我们的团队联系。一旦你有@delivery.htb电子邮件地址,你就可以访问我们的MatterMost服务器。
这里猜测可能需要用一些手段去注册,仔细看有两个下划线带有超链接的英文,一个是:http://helpdesk.delivery.htb/,一个是:http://delivery.htb:8065/,点链接发现都访问不了,我猜可能是要本地加个hosts,起到对应的域名与IP的映射(linux系统的hosts文件在/etc/hosts):
10.10.10.222 helpdesk.delivery.htb delivery.htb
添加后访问http://helpdesk.delivery.htb/, 可以看到正常访问,然后新建一个工单系统
返回一个邮箱ID和工单ID,我们就可以用这个工单ID和邮箱进行注册http://delivery.htb:8065/signup_email
注册之后发现还需要电子邮件确认,此时无法认证。回到http://helpdesk.delivery.htb链接,有个check ticket status查看历史工单输入新建工单时候的邮箱和获取的工单ID
发现认证链接被发送到这里,点击进行账户确认,并登录后台
登录后发现server的用户名和密码maildeliverer:Youve_G0t_Mail!,以及管理员密码留下的规则PleaseSubscribe!。这时候我们就可以利用之前扫描到的22端口进行登录。
在根目录获得
user flag:305738ddc4978c8d77167e34fc513527
0x03获取root flag
在/opt/mattermost/config路径下有个config.json的配置信息,查看一下内容,找到一个mysql数据库用户名和密码:mmuser:Crack_The_MM_Admin_PW
登录mysql数据库
然后查库,查表,搜集有用信息
输入:
select * from Users where username='root'G;最后在Users表中找到用户名root的字段信息,发现有一个密码,但是是经过HASH加密的,结合之前在工单系统后台找到的密码设定规则,可以使用hashcat工具破解
首先创建一个固定的word.txt,用来包含所有密码的共同密码:
使用https://github.com/praetorian-inc/Hob0Rules作为规则,然后通过共同密码和规则生成爆破字典:
hashcat --force word.txt -r hob064.rule --stdout > wordlist.txt然后进行爆破:
hashcat -a 0 -m 3200 hash.hash wordlist.txt -r hob064.rule -o cracked.txt
然后成功爆破出密码:PleaseSubscribe!21,然后切换root用户
Root flag:244448bf43e16f99d3c56e44965fb635
本文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之Delivery
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论