Heal

Entramos por el puerto del http:

Ahora comprobaremos subdominios:

ffuf -u http://heal.htb/ -w /opt/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -H "Host:FUZZ.heal.htb" -mc 200 -t 50 -v -fc 404
subdomio api

Este comando de dirsearch es utilizado para realizar un fuzzing rápido de directorios/archivos en un sitio web, con el filtro para mostrar únicamente los recursos accesibles (código 200 OK), y utiliza múltiples hilos para acelerar el proceso de descubrimiento.

dirsearch -u "http://take-survey.heal.htb/index.php/" -t 50 -i 200

El acceso /index.php/adminsaltará automáticamente a una interfaz de inicio de sesión.

http://take-survey.heal.htb/index.php/admin/authentication/sa/login

Registra cualquier cuenta y entrahttp://heal.htb/resume

burpsuiteAbrir con intercepty hacer clicEXPORT AS PDF

Al lanzar el tercer paquete, /downloadse encuentra una ruta y se puede leer cualquier archivo.

Encontré los nombres de usuario de dos usuarios: ralph,ron

Desde que descubrimos que este sitio web Ruby on Railsutilizaconfig

GET /download?filename=../../config/database.yml

tengo ralphla contraseñahash

Usar Johncontraseña descifrada : 147258369

Encuesta de Lime-RCE

Encuentra un script en Github

LogoGitHub - Y1LD1R1M-1337/Limesurvey-RCE: LimeSurvey Authenticated RCEGitHub
Modificar el rebote SHELLy IPel número de puerto.

Sube y activa el complemento.

Luego accede http://take-survey.heal.htb/upload/plugins/hyh_hacker/php-rev.phpal camino para rebotar.shell

python3 -c "import pty;pty.spawn('/bin/bash')"

/var/www/limesurvey/application/config/config.phpObtener el nombre de usuario y contraseña de la base de datos en

username:ron
password:AdmiDi0_pA$$w0rd

Escalada de privilegios

Cargue Linpeas.shy descubrí que muchos puertos están abiertos.

Reenviar el 8500puerto a travésssh

[root@kali] /home/kali/Heal  
❯ ssh -L 8500:127.0.0.1:8500 ron@heal.htb

La información de la versión se encontró en el código fuente de la página web:1.19.2

Al buscar vulnerabilidades de versión, encontré Exploit-DBun script explotable en

LogoHashicorp Consul v1.0 - Remote Command Execution (RCE)Exploit Database

Configurar NCel monitoreo para recibir rebotesSHELL

Resumen

Usuario: cuando encuentre una ruta para descargar un archivo, verifique cuidadosamente si hay una ruta que se pueda recorrer. Por ejemplo, en esta máquina /download, hay un archivo arbitrario para leer con la dirección del archivo , se descargará la información de la base de datos Rails. Configen segundo plano con éxito y luego cargué el complemento malicioso Webshell. Encontré esto en una máquina anterior y finalmente regresé Shellpara leer el archivo de configuración SSHe iniciar sesión para obtenerlo User.

Raíz: Linuxen comparación con la máquina Windows, la máquina no tiene tantos problemas de permisos en el dominio. A menudo se debe a permisos incorrectos en algunos archivos ejecutables o algunas Webvulnerabilidades en el servicio del puerto de la intranet. Esta máquina Rootreenvía 8500el puerto , luego busca vulnerabilidades kalien versiones históricas y finalmente rebota para obtener permisos.CVEShellRoot

PreviousDiferencia de puertos UDP Y TCPNextAlert

Last updated