Hack the box - OpenAdmin

  1. 前言
  2. 正文

前言

菜的一批的自己正在尝试做HTB

正文

题目:

开局nmap

打开80,apache默认页面

Gobuster跑目录

/artwork目录啥也没有,纯静态玩意。我还找到了那套前端源码

/music目录也是套前端的,但是点击login会跳到opennetadmin

OpenNetAdmin

发现右上角有个登录,弱口令登录上去看看

观察了好一会没啥地方可以搞,Google搜了一下这玩意

searchsploit搜了一下exp,通过版本发现一个RCE

exp复制到当前目录

searchsploit -m 47691

参数就一个URL,不知道填啥

直接填OpenNetAdmin的路径上去不对头

找来msf的exp看了看,发现路径是/login.php

成功利用RCE

先找当前数据库凭证

尝试mysql连接,发现拒绝外连

查询一下home目录,发现两个用户

拿mysql的密码用hydra去搞他

果然有搞头,登录上去康康

没user.txt,草

只能去搞那个用户了,寻找属于当前用户的文件

find / -user jimmy

喔直接就读取另外个用户的ssh密钥了

直接运行告诉我们权限不够,还有一段提示

WTF?忍者

你要的忍者

继续看index.php

在最后几行发现个判断,不过有个锤子用。main.php的判断白给系列

根据第RCE拿到shell的时候,查看当前路径给的是

/var/www/ona

那么这个是不是另外个站点呢?为此我查看了apache.conf

根目录为/var/www/,但是另外一个目录访问404。那么就是多站点无疑了

参考链接:Ubuntu环境下利用Apache2部署多个站点_Jochen的博客-CSDN博客

进入到sites-available文件夹里看了看,发现两个配置文件。openadmin.conf对应OpenNetAdmin,那么另外一个是

可以看到指向的web目录是

/var/www/internal

端口是52846,只允许127.0.0.1访问。那么尝试

curl http://127.0.0.1:52846/main.php

拿到id_rsa,保存到本地。尝试连接

chmod 600 id_rsa
ssh -i id_rsa joanna@10.10.10.171

草尼玛,还要密码,畜生

转换成john可以爆破的格式,用john爆破

python /usr/share/john/ssh2john.py sshid_rsa > ssh.txt
john --wordlist=/usr/share/wordlists/rockyou.txt

最后得到的密码是bloodninjas

登录拿user.txt

sudo -l康康有啥能提权的

打开nano,Ctrl+R读取root.txt,嫖key


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:Hack the box - OpenAdmin

本文作者:九世

发布时间:2020-01-22, 11:47:35

最后更新:2020-01-22, 14:26:21

原始链接:http://422926799.github.io/posts/6510a92e.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录