网站访客qq提取,企业软件解决方案,阿里巴巴的网站建设,做网站模板平台Enumeration
nmap
首先扫描目标端口对外开放情况
nmap -p- 10.10.10.215 -T4
发现对外开放了22,80,33060三个端口#xff0c;端口详细信息如下 结果显示80端口运行着http#xff0c;且给出了域名academy.htb#xff0c;现将ip与域名写到/et/hosts中#xff0c;然后从ht…
Enumeration
nmap
首先扫描目标端口对外开放情况
nmap -p- 10.10.10.215 -T4
发现对外开放了22,80,33060三个端口端口详细信息如下 结果显示80端口运行着http且给出了域名academy.htb现将ip与域名写到/et/hosts中然后从http入手
TCP/80
访问站点看到了HTB的图标还怀疑了10秒钟 站点有一个登录口一个注册口通过查看网页源代码中的后缀名得知使用php语言 既然有注册页面那就先注册一个账号然后登录看看 登录后点击一些链接也没有反应使用dirsearch来检查是否存在其他目录 其中admin.php与之前的登录页面相同但是用刚才注册的账户无法登陆尝试重新注册一个用户并用burp拦截数据包 发现数据包中不止有在表单中填入的参数还有一个roleid猜测该参数可能是控制账户权限的因为之前创建的账 户权限id为0因此无法登陆admin.php的登录页面
尝试修改roleid为1并发送请求包可以看到服务器仍在正常响应 再次尝试在admin.php中登录发现登录成功登陆成功后发现又是一个计划表
其中前五项都已经完成最后一个是待定在/etc/hosts中添加该域名dev-staging-01.academy.htb 访问得到如下结果 可以看到使用了php框架Laravel Exploition
CVE-2018-15133
发现该框架有一个漏洞可以直接远程执行代码条件是要知道程序秘钥在上文中发现了APP_KEY可能就是这个秘钥 在metasploit中可以直接配置攻击利用对应程序 设置如下内容 执行程序后即可获取一个shell 使用python获取一个交互式shell Lateral Movement
在web目录下发现了一个.env文件里面有一个数据库密码考虑密码复用 查看存在的用户 发现找到的密码适用于cry0l1t3用户成功登录 并且在该用户目录下发现了第一个flag 发现该用户属于adm组作为非root用户可以审查日志 首先列出日志文件 Linux 内核会记录很多内容但默认情况下它不会记录 TTY 输入而审计日志允许系统管理员记录这一点。如果启用了TTY 输入日志记录则包括密码在内的任何输入都将以十六进制编码形式存储在 /var/log/audit/audit.log 内。可 以使用 aureport 程序来查询和检索 TTY 输入的记录。 发现了mrb3n的登录密码登录该用户 Privilege Escalation
执行sudo -l发现mrb3n可以以root身份运行composer 然后在GTFOBins中发现该程序可以用来提权 按照上图中执行即可获取root权限 在root目录中除了root.txt还有一个academy.txt看起来挺有趣
