Geekby's Blog
文章 标签 分类 关于
Geekby's Blog

目录

Hack the box - Delivery

 收录于 靶场
   约 77 字   预计阅读 1 分钟 

Hack The Box - Delivery

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322162559.png-water_print

信息收集

1

nmap -T4 -A 10.10.10.222

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322162656.png-water_print

目标机器开放 22、80 等端口。

访问 80 端口,点击 CONTACT US

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322162826.png-water_print

该页面发现两处域名:helpdesk.delivery.htbdelivery.htb

将上述两个域名添加到 hosts 文件中,进行下一步测试。

漏洞利用

http://helpdesk.delivery.htb/index.php 上新建一个工单:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322163236.png-water_print

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322163409.png-water_print

得到一个邮箱和工单 ID。

利用该邮箱,在 http://delivery.htb:8065/signup_email 注册账号:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322163642.png-water_print

创建账户后,发现需要邮箱验证,但是目前无法获取到注册认证的链接。

helpdesk.delivery.htb 上存在一个查看历史工单的链接,然后在 Check Ticket Status 中查看详细信息:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322163817.png-water_print

发现认证链接被发送到此处,点击该链接,进行账户确认,并登录后台:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322163908.png-water_print

在后台处发现 Server 的用户名和密码 maildeliverer:Youve_G0t_Mail! 和管理员留下的密码规则:PleaseSubscribe!

SSH 登录:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322164152.png-water_print

获得 user 的 flag。

/opt/mattermost/config/ 下找到应用的 config 文件:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322164325.png-water_print

在文件中找到 mysql 的用户名与密码:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322164410.png-water_print

登录 mysql,寻找敏感信息:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322164608.png-water_print

发现 web 应用中 root 用户的密码 hash,猜测存在密码复用的情况,结合之前工单系统中留下的密码构造的线索,利用 hashcat 进行密码破解,得到密码明文为:PleaseSubscribe!21

SU 切换用户:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20210322164824.png-water_print

得到 root 用户的 flag。

更新于 2021-03-22
 HTB
返回 | 主页