HTB-Bastard

HTB-Bastard

  • 信息收集
    • 80端口
  • 立足
  • 提权

HTB-Bastard_第1张图片

信息收集

HTB-Bastard_第2张图片
HTB-Bastard_第3张图片

80端口

一个欢迎界面以及一个登录功能。底部有Powered by Drupal
HTB-Bastard_第4张图片
创建一个用户aster:[email protected],会看到无法发送邮件的错误信息。

HTB-Bastard_第5张图片
返回查看nmap结果

HTB-Bastard_第6张图片
查看CHANGELOG.txt文件,获得Drupal版本为7.54。
HTB-Bastard_第7张图片

INSTALL.mysql.txt也能访问不过只是安装使用mysql的文档,INSTALL.pgsql.txt则是pgsql的帮助文档。我们只选择需要的来列举出来。
HTB-Bastard_第8张图片
robots.txt文件内容如下。

HTB-Bastard_第9张图片

大部分内容都无法访问,去看看drupal 7.54有什么可以利用的呢。

HTB-Bastard_第10张图片
虽然可以是易受攻击版本,但是攻击会失败。查看一下此利用的需要条件。
HTB-Bastard_第11张图片
逐步排查,有问题的部分就是PHP_FUNC和TARGETURI两个地方。再次对目标进行目录扫描。
HTB-Bastard_第12张图片

HTB-Bastard_第13张图片
行吧,没有什么新的发现。继续查找利用的时候,看到了一个drupal的endpoint。
HTB-Bastard_第14张图片

drupal的endpoint

HTB-Bastard_第15张图片

下面我们需要找到endpoint的路径,但是扫描器貌似扫描不出来。尝试几个可能的搭配:/rest_endpoint、/endpoint、/rest。
HTB-Bastard_第16张图片
运行会出现问题。

HTB-Bastard_第17张图片
安装php-curl,sudo apt install php-curl
HTB-Bastard_第18张图片
先看看能不能通过sql写入phpinfo。

HTB-Bastard_第19张图片
可以。
HTB-Bastard_第20张图片

那就写一个webshell吧。
HTB-Bastard_第21张图片

HTB-Bastard_第22张图片
此外他还给了我们session.json和user.json两个json文件。
HTB-Bastard_第23张图片

HTB-Bastard_第24张图片
user.json里面有sql注入出来的admin的信息。
HTB-Bastard_第25张图片hashcat wiki上能找到对应的hash类型。
HTB-Bastard_第26张图片

立足

不过我们都有webshell了,所以用不上admin的密码。上传nc.exe并运行获得shell。
HTB-Bastard_第27张图片

提权

systeminfo查看操作系统有关信息。
HTB-Bastard_第28张图片
搜索相关内核漏洞。CVE-2019-1458
HTB-Bastard_第29张图片
配合上前面的nc.exe反弹system的shell。
HTB-Bastard_第30张图片

你可能感兴趣的:(HTB,其他)