2020-01-10 HTB OpenAdmin

2020年的第一个上线靶机

目录爆破一下发现很多栏目页面，在music页面下发现了login，直接跳转到ona目录下

尝试admin、admin弱口令，虽然成功但是对于权限没有什么改变，依然是guest，至于为什么没有改变可以进入到www-data权限后在某个配置文件下找到原因。

查了半天发现ona是OpenNetAdmin，是一个IP网络地址和主机管理系统。并且版本是v18.1.1。存在可利用exploit，使用msf中的模块一直有问题，所以直接手动利用，具体利用可以上exploit-db。

向靶机植入反弹shell，建立会话

找到了关于数据库的配置文件

在/var/www目录下发现另一个叫internal的目录，属于jimmy用户。尝试泄露的数据库密码连接jimmy用户的ssh，成功登入

连接后查看Internal目录下的文件，发现同样是一个网站目录，其中功能是通过登录认证jimmy用户输出另一个用户joanna的rsa密钥

解密那一长串sha512得出明文是：Revealed。但是尝试访问页面发现自己权限被阻止的，毕竟我的权限是jimmy，只能继续寻找。在jimmy的根目录下发现个.viminfo文件，里面出现了关于apache2的Internal.conf文件的线索。直接cat这个配置文件

内容一目了然就是用joanna用户启动了个Internal的那个网站服务，监听端口是52846。也就意味着访问52846端口其实就是joanna权限去访问，访问页面得到joanna的rsa

解密rsa得到一个密码叫bloodninjas。

经尝试这个密码并不是joanna的ssh连接密码，而是利用密钥连接ssh时对私钥的验证密码。之后连接到joanna的ssh

使用sudo发现sudo命令可用，输入sudo -l查看权限

可以无需密码使用nano去编辑/opt/priv这个文件。直接sudo nano /opt/priv进入编辑器，Ctrl+R读取文件，输入文件路径即可查看所有root权限文件。