HackTheBox-Linux-CTF

一、信息收集

可以看到靶机的IP是10.10.10.122...

nmap发现仅开放了apache和ssh服务...

这里也讲解了，无法使用dirbuster，sqlmap等进行爆破和盲注进行渗透...

访问web页面的login这是登录页面...

在HTML的前端代码中看到了提示...

提示了类型是OTP...

意思是：登录页面首先检查用户名，如果正确，则随后检查一次性密码（OTP）。通常，OTP有4位，6位和8位格式

从绿色字面意思听起来很像是轻量级目录访问协议（LDAP）...并且如何处理具有81位数字的令牌字符串？

Google搜索表明，具有81位数字的令牌字符串是一种称为压缩令牌格式（CTF）设置的软件令牌传送方法...

通过枚举发现，错误的用户名提示：User admin not found

正确的用户名提示：Cannot login

通过ldap盲注后，找到了双URL注入会提示Cannot login...

通过google搜索，发现了seclists中有user_ldap的库，直接利用wfuzz枚举到了正确的用户名...

通过google，我找到了CTF专门获得完整81位令牌的方法，以逐个的泄漏数字，直到获得完整的81位令牌字符串为止...

.sh在google很多，方法也很多...

获得了81位完整的令牌字符串...

下一步要生成TOP，需要利用到stoken...

首先要输入OTP令牌，需要知道靶机的时间，靶机的时间是GMT，北京时间是CST...

需要修改本地的时间，否则令牌还是失效的...

百度可以看到时间差的区别...只需要查看到靶机的时间往上加八个小时即可...

通过查看到靶机上的时间，这里可以在burpsuit拦截后，可查看到Date时间...我通过命令查询了..

02+8=10，将时间修改为10点即可...然后通过stoken，pin为0000，获得八位OTP令牌...

输入后，获得了CMD权限栏，但是查询后，提示需要root或者admin权限才可以执行命令...

这里利用双重URL进行ldap的二阶注入，配合上OTP令牌...

成功绕过...获得了cmd权限...简单shell提权把

简单的shell...这里限制了端口，我用了443..

获得了简单外壳后，无法TTY...但是查看html中login.php发现了重要信息...

在该php前端代码中，获得了ldapuser的SSH登陆密码...

成功登陆，并获得了user_flag信息...

继续枚举，发现了蜜罐....

该密码重要的意思是：

1、正在备份文件内容，并从/var/www/html/uploads中删除文件，并且每分钟更新error.log信息...

2、该命令7za a backup.zip -t7z @listfile.txt会将所有以.zip 结尾的文件添加到/backup中backup.7z...如果该命令在列表文件中找不到该文件，它将发出诊断消息，例如警告和/或错误消息到stderr...

如果tail -f /backup/error.log在外壳中运行，我们可以捕获7za被截断之前发送的诊断消息，所以可以通过7za创建以下文件并创建到的符号链接来诱骗诊断/root/root.txt的信息...可以在本地进行，也可以在靶机中进行...

发现ssh权限无法读取和执行uploads内的文件...这是apache权限才可以执行，回到简单的外壳中...

touch @dayuln -s /root/root.txt /var/www/html/uploads/dayutail -f error.log

回到简单的外壳中进行，创建并软连接root_flag内容...过了一分钟后，获得了flag信息...