Linux/Delivery

Linux/Delivery_第1张图片

Enumeration

nmap

首先扫描目标端口对外开放情况,第一轮扫描发现对外开放了22,80,8065三个端口,端口详细信息如下

nmap -sC -sV -p 22,80,8065 10.10.10.222

Linux/Delivery_第2张图片

nmap显示22端口运行着ssh服务,80端口运行着http服务,8065端口运行的服务未知

TCP/80

浏览80端口,展示了一个页面

Linux/Delivery_第3张图片

点击HELPDESK,显示无法连接,需要添加域名和ip到/etc/hosts中

Linux/Delivery_第4张图片

10.10.10.222 delivery.htb helpdesk.delivery.htb

点击另一个contact us,显示对于未注册用户,需要使用helpdesk与团队联系,一旦有了@delivery.htb邮件地址,就 可以访问MatterMost服务器

Linux/Delivery_第5张图片

点击MatterMost server跳转到登录表单,显示端口为8065

Linux/Delivery_第6张图片

Foothold

再回到HelpDesk,发现是一个osTicket票务系统

创建一个新票据,open a new ticket

Linux/Delivery_第7张图片

如果填写无误,创建票据后会收到一个类似创建成功的提醒消息,在票据创建的同时,也会创建一个@delivery邮 箱,可以用该邮箱来注册用户

Linux/Delivery_第8张图片

重新回到MatterMost server,使用刚才给的邮箱来创建一个账户

Linux/Delivery_第9张图片

回到helpdesk看到了链接

Linux/Delivery_第10张图片

访问该链接,登录后可以看到如下页面

Linux/Delivery_第11张图片

其中包含一些有关认证信息的内容,使用该凭证可以登录ssh maildeliverer:Youve_G0t_Mail!

Linux/Delivery_第12张图片

Privilege Escalation

枚举系统时发现,Mattermost将其配置存储在/opt/mattermost/config/config.json,其中有mysql的认证信息

尝试登录mysql数据库

Linux/Delivery_第13张图片

然后进入mattermost数据库

Linux/Delivery_第14张图片

进一步发现该数据库中有users表

Linux/Delivery_第15张图片

其中,可以看到有一行的内容为

root | $2a$10$VM6EeymRxJ29r8Wjkr8Dtev0O.1STWb4.4ScG.anuu7v0EFJwgjjO | NULL | | [email protected]

而在之前的提示中,进入到mattermost服务器里面时,有暗示说不要使用包含了PleaseSubscribe!的密码,猜测密码可能和这个有关

生成一个包含了这组字符串的密码字典

Linux/Delivery_第16张图片

使用john对hash进行解密,很快就能得到root的密码是什么

Linux/Delivery_第17张图片

可以直接切换至root用户

Linux/Delivery_第18张图片

你可能感兴趣的:(HackTheBox,web安全,网络安全)