Hack The Box – DevVortex

尝试使用windows系统去做HTB

nmap -Pn -A -p- -T4 10.10.11.242

Nmap scan report for 10.10.11.242Host is up (0.63s latency).Not shown: 65533 closed tcp ports (reset)PORT   STATE SERVICE VERSION22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)| ssh-hostkey:|   3072 48add5b83a9fbcbef7e8201ef6bfdeae (RSA)|   256 b7896c0b20ed49b2c1867c2992741c1f (ECDSA)|_  256 18cd9d08a621a8b8b6f79f8d405154fb (ED25519)80/tcp open  http    nginx 1.18.0 (Ubuntu)|_http-title: Did not follow redirect to http://devvortex.htb/|_http-server-header: nginx/1.18.0 (Ubuntu)No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).TCP/IP fingerprint:OS:SCAN(V=7.93%E=4%D=12/29%OT=22%CT=1%CU=37078%PV=Y%DS=2%DC=T%G=Y%TM=658ED2OS:E0%P=i686-pc-windows-windows)SEQ(SP=FA%GCD=1%ISR=10A%TI=Z%CI=Z%II=I%TS=AOS:)SEQ(CI=Z%II=I)OPS(O1=M54EST11NW7%O2=M54EST11NW7%O3=M54ENNT11NW7%O4=M54EOS:ST11NW7%O5=M54EST11NW7%O6=M54EST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%WOS:5=FE88%W6=FE88)ECN(R=Y%DF=Y%T=40%W=FAF0%O=M54ENNSNW7%CC=Y%Q=)T1(R=Y%DF=YOS:%T=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%FOS:=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%OS:T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RDOS:=0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IEOS:(R=Y%DFI=N%T=40%CD=S)Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 995/tcp)HOP RTT       ADDRESS1   289.00 ms 10.10.16.12   578.00 ms 10.10.11.242OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 1751.48 seconds

添加hosts行

10.10.11.242 devvortex.htb

目录扫描、指纹扫描都没有收获。

使用Burpsuite进行子域名爆破,以目前电脑的性能,做HTB的话一些爆破基本上Burp suite就可以了。

在Host表头设置爆破点,记得取消更Host报头匹配目标功能,不然会因为更新Host报头而无法正常爆破子域。

爆破到子域dev[.]devvortex[.]htb

然后将子域dev[.]devvortex[.]htb加入到HOSTS文件当中

之后再针对该域名进行目录爆破和指纹扫描。

指纹识别是Joomle

目录扫描打开,先让他扫描,我们先根据这个指纹信息去挖掘更多的东西,先找一下版本信息,访问一下/htaccess.txt看有没有版本信息。

信息让我们看LICENSE.txt文件查看版本信息。

事实上里面是里面也没有具体的版本号,我们目前已知的是Joomla2.x版本。

可以通过访问错误的路径或者插入错误的参数,致使服务器报错,观察是否存在敏感信息泄露从而判断版本,遗憾的是没有。

实时候让目录扫描发挥专长了,结果是一无所获。- -||

这个时候只能大力出奇迹了,直接搜索Joomla 2.x exploit

远程命令执行,是我们需要的,点进去发现还是没有办法直接利用,现在得先想办法获取具体的版本号了,但是只查到了3.x的版本信息获取方法,再查找许久之后发现2023年新发掘的漏洞CVE-2023-23752,存在一种信息泄露漏洞,可以看到管理员账号和明文密码。

乔姆拉!CVE-2023-23752 代码执行 – 博客 – VulnCheck

lewis : P4ntherg0t1n5r3c0n##

登录后台是扫描目录的时候扫描出来的,看来还是有点作用的。

再知道管理用用户名和密码的时候,这个时候就可以上传木马拿到第一个Flag了,我这边选择使用一句话木马使用蚁剑连接。

System->Templates->Administrator Templates->Close File -> New File




找到了第一个flag文件,但是没有权限,现在要想办法提权,如果有密码的话就要用SSH去连接这个用户。

HTB提权的三板斧是敏感文件、SUID、第三方软件漏洞提权。

现在权限很低只有先找敏感文件,变成正常用户才能用到后面两板斧。

数据库是相同的用户名和密码,可以尝试数据库是否有用户名和密码然后进行撞库。

尝试许久之后发现,蚁剑、菜刀、哥斯拉等一句话木马连接工具无法升级shell为可交互shell,无法使用mysql语句,没办法只能使用哥斯拉将shell转到MSF上面。

shell之后只需要输入script /dev/null -c /bin/bash就可以交互了。

show databases; #查看数据库

use joomla; #打开数据库

show tables; #查看biao

select * from sd4fg_users; #查看用户名和密码

缩小一些就可以看清楚了。

使用john或者hashcat都可以,我这里使用hashcat破解。

[example_hashes hashcat wiki]

可以查看各种hash示例。

用开头做索引查看

在各种CTF当中Kali的字典是非常重要的一个字典列表,下面这个链接可以直接下载。

https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt

Kali Linux / Packages / wordlists · GitLab

hashcat -m 3200 HTB.txt rockyou.txt -O

HTB.txt hash值

rockyou.txt 字典文件

现在得到账号和密码 logan : tequieromucho

SSH连接,我这边选择使用MSF连接后续更好升级权限或者是使用后渗透框架。

拿到第一个flag

提权至root,先查看sudo -l

diego-tella/CVE-2023-1326-PoC: A proof of concept for CVE-2023–1326 in apport-cli 2.26.0 (github.com)

使用这个POC进行提权利用

缺少crash文件,查了一些资料发现crash文件就是报告文件,整个漏洞类似VIM的!/bin/bash提权。

-f 选项可以帮我创建报告,那么接下来就简单多了。

最后到这里就结束了。