【渗透测试】hackthebox靶场之Delivery

  • A+
所属分类:安全文章
【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery



【渗透测试】hackthebox靶场之Delivery


0x01 信息收集

【渗透测试】hackthebox靶场之Delivery

使用nmap端口扫描:

nmap -sS -sV -A 10.10.10.222

【渗透测试】hackthebox靶场之Delivery

扫描可知开放22,80端口,linux操作系统,使用浏览器访问80端口



0x02漏洞利用

【渗透测试】hackthebox靶场之Delivery

点击contcat us,翻译出来就是:对于未注册的用户,请使用我们的帮助台与我们的团队联系。一旦你有@delivery.htb电子邮件地址,你就可以访问我们的MatterMost服务器。

【渗透测试】hackthebox靶场之Delivery

这里猜测可能需要用一些手段去注册,仔细看有两个下划线带有超链接的英文,一个是:http://helpdesk.delivery.htb/,一个是:http://delivery.htb:8065/,点链接发现都访问不了,我猜可能是要本地加个hosts,起到对应的域名与IP的映射(linux系统的hosts文件在/etc/hosts):

10.10.10.222 helpdesk.delivery.htb delivery.htb

【渗透测试】hackthebox靶场之Delivery

添加后访问http://helpdesk.delivery.htb/, 可以看到正常访问,然后新建一个工单系统

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

返回一个邮箱ID和工单ID,我们就可以用这个工单ID和邮箱进行注册http://delivery.htb:8065/signup_email

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

注册之后发现还需要电子邮件确认,此时无法认证。回到http://helpdesk.delivery.htb链接,有个check ticket status查看历史工单输入新建工单时候的邮箱和获取的工单ID

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

发现认证链接被发送到这里,点击进行账户确认,并登录后台

【渗透测试】hackthebox靶场之Delivery

登录后发现server的用户名和密码maildeliverer:Youve_G0t_Mail!,以及管理员密码留下的规则PleaseSubscribe!。这时候我们就可以利用之前扫描到的22端口进行登录。


【渗透测试】hackthebox靶场之Delivery

在根目录获得

user flag:305738ddc4978c8d77167e34fc513527

【渗透测试】hackthebox靶场之Delivery


0x03获取root flag

在/opt/mattermost/config路径下有个config.json的配置信息,查看一下内容,找到一个mysql数据库用户名和密码:mmuser:Crack_The_MM_Admin_PW

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

登录mysql数据库

【渗透测试】hackthebox靶场之Delivery

然后查库,查表,搜集有用信息

【渗透测试】hackthebox靶场之Delivery

输入:

select * from Users where username='root'G;

最后在Users表中找到用户名root的字段信息,发现有一个密码,但是是经过HASH加密的,结合之前在工单系统后台找到的密码设定规则,可以使用hashcat工具破解


【渗透测试】hackthebox靶场之Delivery

首先创建一个固定的word.txt,用来包含所有密码的共同密码:

【渗透测试】hackthebox靶场之Delivery

使用https://github.com/praetorian-inc/Hob0Rules作为规则,然后通过共同密码和规则生成爆破字典:

hashcat --force word.txt -r hob064.rule --stdout > wordlist.txt

然后进行爆破:

hashcat -a 0 -m 3200 hash.hash wordlist.txt -r hob064.rule -o cracked.txt

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

然后成功爆破出密码:PleaseSubscribe!21,然后切换root用户

【渗透测试】hackthebox靶场之Delivery

Root flag:244448bf43e16f99d3c56e44965fb635


【渗透测试】hackthebox靶场之Delivery




【渗透测试】hackthebox靶场之Delivery


【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Delivery

【渗透测试】hackthebox靶场之Base

【渗透测试】Hackthebox之Beginner Track系列

【渗透测试】hackthebox靶场之Vaccine

【渗透测试】hackthebox靶场之Archetype


【渗透测试】hackthebox靶场之Delivery
【渗透测试】hackthebox靶场之Delivery
微信搜一搜
【渗透测试】hackthebox靶场之Delivery
暗魂攻防实验室


本文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之Delivery

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: