HTB-Nibbles

0x01 端口扫描

扫描情况如下:

  • 22端口:SSH服务
  • 80端口:HTTP服务

访问80端口

查看源代码

注释中有内容,先保存下来

访问该目录,看到了一个页面

根据页面右下角指纹可知这是一个开源的博客系统。

0x02 目录扫描

先对网站根目录进行扫描,未发现什么有用的线索。

再对网站目录扫描,发现一些链接及文件

访问这些线索

其中有一个登陆页面

一个install.php的页面

和一个admin用户名但不知道密码

0x03 遗留的web敏感文件

点击更新我们发现了Nibbleblog4.0.3的版本号和两个疑似数据库的路径

通过exploit的讲解我们得知必须要获得管理员权限才能够使用该漏洞

0x05 登陆凭证猜测

无法使用爆破,应该设置了尝试次数机制根据猜测最后的密码为admin/nibbles

登陆系统后页面如下

漏洞非常简单,找到对应的功能点,上传php-reverse-shell即可,保存在了该插件的目录下,且名称为

image.php

访问获得反弹shell后获取标准终端并禁用回显

使用命令查看是否有提权可利用的命令

发现我们可以无root密码使用 /home/nibbler/personal/stuff/monitor.sh 并且从 /home/nibbler/ 又可知道该目录是当前用户的个人目录,那么意味着nibbler用户对该目录有完整的读、写和执行权限。

使用命令写入

这里我是笨比,不会换行,直接写了两次

给monitor.sh添加执行权限,然后sudo运行一下,获取root权限

0x06 总结

  • 查看源代码发现更多有价值的线索
  • 访问页面获取系统关键词
  • 对根目录扫描和网站目录扫描结果可能不同
  • 遗留的安装文件等泄露系统版本信息
  • 配置文件获取admin用户名
  • 无法对密码进行爆破时,尝试使用相关的内容进行猜测
  • 登陆成功后的任意文件上传
  • 修改脚本sudo提权

发表回复