白总终于卷起来了,他写了篇文章分享给大家。
1.端口扫描发现目标开放22、443、8080端口。
2.查看443端口
3.端口扫描
4.访问/manager/html应用提示403Forbidden
5.访问8080端口
6.注册一个用户admin1并登录系统
7.进入系统后发现seal_market的代码库
8.打开seal_market/nginx/sites-enabled/default 发现admin/dashboard等页面配置了访问策略
9.点击commit,查看代码提交记录,在记录中发现tomcat管理界面的账号密码tomcat/42MrHBf*z8{Z%。
10.因为应用系统采用nginx+tomcat的组合,使用https://10.129.95.190/admin;a=a/dashboard绕过ngnix对页面的限制。(/admin;a=b/c ngnix解析为/admin;a=b/c,tomcat解析为/admin/c)
11.上传war包,系统返回403错误。
12.在URL处加..;绕过
13.上传成功。
14.连接shell,发现是tomcat权限,系统还有个luis用户。
15.在/opt/backups/playbook目录下发现存在run.yml文件,查看内容发现是3个任务。分别是拷贝文件、压缩文件、删除文件,其中拷贝文件中copy_links=yes标识可拷贝链接。
16.在拷贝的目录下发现存在uploads目录存在读写权限。
17.创建一个链接aaa指向/home/luis/.ssh/id_rsa
18.前往/opt/backups/archives 将生成的压缩包拷贝出来到tmp目录解压,可以看到已经拷贝了id_rsa私钥文件
19.通过私钥连接ssh获得luis权限,并拿到flag。
20.尝试cve-2021-4304提权,失败。
21.使用sudo -l提权,发现ansible-playbook可以使用root权限执行,最后拿到flag。
原文始发于微信公众号(Matrix1024):HTB靶场系列之Seal通关攻略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论