0x00 信息收集
nmap -Pn -p- -T4 --min-rate=1000 10.10.10.222
nmap -Pn -sCV -p22,80,8065 10.10.10.222
查看80端口是一个静态页面,打开8065端口后,直接是登录的界面
尝试创建一个账号 pttest/Qwer1234!!
需要进行邮箱验证
不太符合靶机的逻辑,返回到80端口查找是否有其他信息
将helpdesk.delivery.htb和delivery.htb添加到hosts文件中。
创建一个新工单
成功创建,并得到一个邮箱2655185@delivery.htb
回到刚刚8065端口的注册页面,使用得到的邮箱进行注册
回到helpdesk查看之前工单的状态
可以看到激活的邮件
验证邮箱后,从8065端口登录刚刚注册的账号
得到 maildeliverer/Youve_G0t_Mail!
0x01 漏洞利用
使用得到的凭据进行ssh登录
0x02 权限提升
上传linpeas.sh文件至靶机
最终在目录/opt/mattermost/config发现config.json文件,文件中包含数据库的账号和密码
mmuser:Crack_The_MM_Admin_PW
信息枚举时也发现靶机使用了mysql
在数据库中查找密码
得到user的密码hash $2a
10
10
10VM6EeymRxJ29r8Wjkr8Dtev0O.1STWb4.4ScG.anuu7v0EFJwgjjO
根据之前网页中的提示不要重复使用密码 PleaseSubscribe!
根据这个密码生成相关密码
查看hash的类型
得到密码
PleaseSubscribe!21