** 0X01 简介**
#Horizontall#难度是一个相对“简单”的 CTF Linux盒子。该CTF环境涵盖了通过利用Strapi RCE 漏洞并使用内部应用程序
(Laravel) 将隧道传输到本地计算机,并且在 Laravel v 7.4.18 上运行 漏洞PoC最来提升权限拿到root用户权限。
** 1.1信息收集**
Ønmap端口扫描工具
** 1.2目录枚举**
Ø使用 wfuzz 目录枚举工具
ØStrapi 密码重置漏洞
** 1.3渗透测试**
Ø利用strapi CVE-2019-18818获取反向shell
Ø初始信息收集
Ø在受害者的 authorized_keys 文件中设置我的 SSH 密钥
** 1.4权限提升**
Ø将内部网站通过隧道连接到我们的系统
Ø利用 Laravel CVE-2021-3129获取根标志
0X02 信息收集
首先,我们利用端口探测工具对受害主机运行 nmap,查看受害主机开启哪些端口,命令如下(如图2.1所示)
nmap -sV -sC -Pn 10.129.149.92
图2.1 namp扫描端口
** 0X03 目录枚举**
根据步骤2我们发现受害主机开启2个端口,1个为22端口(SSH服务),另外一个开启80端口(HTTP协议),由于是HTTP服务所以我们知道是一个网站服务,通过nmap对端口探针发现网站标题为horizontall,为我们渗透测试机kali可以访问到网站,需要我们在
hosts 文件中添加了该地址以进行解析。(如图3.1.1所示)
图3.1.1 解析过程
我们试图在网站本身上寻找可利用的漏洞信息,但在主域名网站下没有发现任何可利用信息,所以我们需要对主域名其它目录,查看是否有可利用信息,通过目录暴力破解没有发现可利用信息。所以接下来我们尝试枚举子域名,命令操作如下。
wfuzz -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -H "Host: FUZZ.horizontall.htb" --sc 200 10.129.149.92
通过wfuzz域名检举工具,我们发现返回了一个有趣的子域,称为api-
prod(如图3.1.2所示)
图3.1.2 api-prod子域
在次我们在 hosts 文件中添加这个子域名并尝试打开该网站。添加子域名操作命令如下(如图3.1.3所示)
echo "10.129.149.92 api-prod.horizontall.htb" >> /etc/hosts