Linux/Luanne

Linux/Luanne_第1张图片

Enumeration

nmap

首先扫描目标端口对外开放情况,第一轮扫描发现对外开放了22,80,9001三个端口,端口详细信息如下

Linux/Luanne_第2张图片

TCP/9001

9001端口挺神奇,nmap给出的结果是在9001端口运行着Medusa Supervisor,访问站点发现了一个登录框

Linux/Luanne_第3张图片

在谷歌中搜索 ,查看默认用户名密码

Linux/Luanne_第4张图片

尝试使用该用户名密码登录

Linux/Luanne_第5张图片

看起来是在监控一些程序的运行,可以对服务进行重启,关闭,清除日志等操作 点击Tail -f Stdout,会返回系统正在运行的一些进程

Linux/Luanne_第6张图片

可以看到有两个httpd正在运行,一个在3001端口,一个在3000端口

首先看3001端口,运行它的用户是r.michaels,目录为/home/r.michaels/devel/www下运行,可能是开发服务 而3000端口的运行用户为_httpd,目录为/var/www,可能是生产服务

对80端口的进一步探索标明,该nginx服务器被用作3000端口上运行的httpd的反向代理

Linux/Luanne_第7张图片

在谷歌中搜索/usr/libexec/httpd,发现一个手册页,点进该手册页,进程指令是/usr/libexec/httpd -u -X -s -i 127.0.0.1 -I 3000 -L weather /usr/local/webapi/weather.lua -U _httpd -b /var/www

根据手册页内容显示,-L表示添加一个新的lua脚本,当触发特定url时,会执行lua函数,因此-L weather很有可能是 一个web目录,但是访问http://10.10.10.218/weather并没有展示有趣的东西

Linux/Luanne_第8张图片

尝试扫描目录,发现该目录下存在forecast,且状态码为200

Linux/Luanne_第9张图片

尝试访问结果如下

按照提示添加参数city=list,可以看出给出了一个城市列表

指出城市London,会收到下面的响应,可以看到列出了从今天开始很多天的天气预报

Linux/Luanne_第10张图片

需要注意的是,城市的首字母应该大写,刚才输入london,收到的是状态码为500的错误

但是也提示了,如果输入的城市名不在列表中或拼写错误,系统会报错 在谷歌中搜搜lua httpd vuln,得到如下结果

Linux/Luanne_第11张图片

lua code injection

但是先要考虑如何闭合,添加单引号

经过尝试,在下面的情况中,返回与最初报错相同

然后在后面添加payload,发现确实返回了id

那么就可以使用一个反向shell连接回来

监听得到shell

Linux/Luanne_第12张图片

Lateral Movement

当前目录下有.htpasswd文件,保存了webapi_user的hash

Linux/Luanne_第13张图片

然后使用john暴力破解hash值,得到密码webapi_user:iamthebest

Linux/Luanne_第14张图片

使用用户名和密码可以登录80端口的http服务,但是并没有什么有趣的

Linux/Luanne_第15张图片

查看home目录,发现只有一个r.michaels用户

Linux/Luanne_第16张图片

而之前探索得到这个用户在3001端口运行了一个httpd服务,使用刚才获取的用户名和密码可以认证成功

Linux/Luanne_第17张图片

进而发现了一个id_rsa目录,访问得到了一个私钥

Linux/Luanne_第18张图片

将该密钥保存后,赋予权限,然后可以登录ssh

Linux/Luanne_第19张图片

Privilege Escalation

在r.michaels目录中发现了一个.gnupg

Linux/Luanne_第20张图片

搜索得知gnupg是一个用于加密加签的软件

Linux/Luanne_第21张图片

然后在backups目录中,有一个压缩文件

在NetBSD中可以使用netgpg来解密,首先复制一份到/tmp目录,然后解密

解压输出的文件

Linux/Luanne_第22张图片

打开.htpasswd,发现一个新的密码

使用john解密得到密码

Linux/Luanne_第23张图片

在BSD上与sudo -l等效的是doas,首先找到并查看该配置文件

Linux/Luanne_第24张图片

因为允许r.michaels以root权限执行,所以可以利用,输入刚才获取的密码,成功切换至root

Linux/Luanne_第25张图片

你可能感兴趣的:(HackTheBox,网络安全,web安全)