HTB - PC

靶机描述

ip : 10.10.11.214

在做之前需要配置一下hosts文件,不然会连接失败

(windows的hosts文件在C:\Windows\System32\drivers\etc里,linux在/etc/hosts)

HTB - PC_第1张图片

信息收集

  • nmap扫描开启了22端口ssh服务和50051端口

  • 单独在仔细扫一遍50051端口

HTB - PC_第2张图片

  • 继续搜集信息,搜索了一下50051是什么服务
  • 发现50051是gRPC的默认端口
  • HTB - PC_第3张图片
  • 继续搜索怎么利用这个端口
  • HTB - PC_第4张图片
  • 可以通过grpcurl来进行访问grpc服务
  • 但除了这个方式好像还有一种界面交互式的更方便一点
  • 应为grpcurl需要go环境并且安装比较麻烦,所以我索性用docker上的环境
  1. 搜索grpcurl         docker search grpcurl
  2. 拉取镜像文件        dockers  pull   fullstorydev/grpcurl
  3. 查看镜像                docker images
  4. 运行grpcurl          docker run fullstorydev/grpcurl -plaintext 10.10.11.214:50051 list

运行的时候需要tls手令,网上搜了下加上-paintext就行

HTB - PC_第5张图片

HTB - PC_第6张图片

渗透测试

  •  发现有两个

  • 访问simpleapp时发现有三个新的页面

HTB - PC_第7张图片

  • 访问loginuser试试
  • 访问的时候会有点问题,搜索在grpcurl中二级页面要加上Request才能进行下一步(-d 传入参数)

  • 得到回显,既然是登录入口那就得尝试弱口令(返回id那就得想到sql注入)

HTB - PC_第8张图片

  • 有回显尝试注入试试

HTB - PC_第9张图片

  1. 测试后发现是sqlite数据库(可以自己去学习下,我是直接搜索的sqlite注入语句一步到位),如果使用另一种界面交互式的不知这种命令界面的,就可以抓包用sqlmap跑方便很多
  2. 最后跑出来账号密码是sau:HereIsYourPassWord1431

找到立足点

sau:HereIsYourPassWord1431

ssh登录

ssh sau@pc

HTB - PC_第10张图片

第一个flag就在这个文件夹里

提权(还不会,后面在跟新)

你可能感兴趣的:(HTB,安全,web安全,数据库,sql)