Heal
Entramos por el puerto del http:
Ahora comprobaremos subdominios:
Este comando de dirsearch es utilizado para realizar un fuzzing rápido de directorios/archivos en un sitio web, con el filtro para mostrar únicamente los recursos accesibles (código 200 OK), y utiliza múltiples hilos para acelerar el proceso de descubrimiento.
El acceso /index.php/adminsaltará automáticamente a una interfaz de inicio de sesión.
http://take-survey.heal.htb/index.php/admin/authentication/sa/login
Registra cualquier cuenta y entrahttp://heal.htb/resume
burpsuiteAbrir con intercepty hacer clicEXPORT AS PDF
Al lanzar el tercer paquete, /downloadse encuentra una ruta y se puede leer cualquier archivo.
Encontré los nombres de usuario de dos usuarios: ralph,ron
Desde que descubrimos que este sitio web Ruby on Railsutilizaconfig
GET /download?filename=../../config/database.yml
tengo ralphla contraseñahash
Usar Johncontraseña descifrada : 147258369
Encuesta de Lime-RCE
Encuentra un script en Github
SHELLy IPel número de puerto.Sube y activa el complemento.
Luego accede http://take-survey.heal.htb/upload/plugins/hyh_hacker/php-rev.phpal camino para rebotar.shell
python3 -c "import pty;pty.spawn('/bin/bash')"
/var/www/limesurvey/application/config/config.phpObtener el nombre de usuario y contraseña de la base de datos en
Escalada de privilegios
Cargue Linpeas.shy descubrí que muchos puertos están abiertos.
Reenviar el 8500puerto a travésssh
La información de la versión se encontró en el código fuente de la página web:1.19.2
Al buscar vulnerabilidades de versión, encontré Exploit-DBun script explotable en
Configurar NCel monitoreo para recibir rebotesSHELL
Resumen
Usuario: cuando encuentre una ruta para descargar un archivo, verifique cuidadosamente si hay una ruta que se pueda recorrer. Por ejemplo, en esta máquina /download, hay un archivo arbitrario para leer con la dirección del archivo , se descargará la información de la base de datos Rails. Configen segundo plano con éxito y luego cargué el complemento malicioso Webshell. Encontré esto en una máquina anterior y finalmente regresé Shellpara leer el archivo de configuración SSHe iniciar sesión para obtenerlo User.
Raíz: Linuxen comparación con la máquina Windows, la máquina no tiene tantos problemas de permisos en el dominio. A menudo se debe a permisos incorrectos en algunos archivos ejecutables o algunas Webvulnerabilidades en el servicio del puerto de la intranet. Esta máquina Rootreenvía 8500el puerto , luego busca vulnerabilidades kalien versiones históricas y finalmente rebota para obtener permisos.CVEShellRoot
Last updated