teacher-HTB靶机渗透

前言

知识点:

  • python脚本生成字典
  • Linux软连接

user.txt

nmap只跑出一个80端口,并没有什么。爆破一下路径,可以得到/moodle路径
moodle
Google一下,得知这是一个给学校设计课程安排的框架

/gallery.html页面发现异常,少了一张图
pic5
查看源码,发现这个png文件有异常,下载下来

1
2
3
curl http://10.10.10.153/images/5.png > 11

xxd 11

xxd
隐藏信息是说这位老师忘记密码的最后一位了,暗示需要暴力猜解密码

生成字典

1
2
3
4
5
6
7
8
9
10
11
12
13
import string

charset = string.printable

s = 'Th4C00lTheacha'
t = ''
f = open('./password.txt','w')

for c in charset:
t += s + c + '\n'

f.write(t)
f.close()

来到/moodle路径下,需要登录,尝试以giovanni身份登录。爆破密码,得到密码最后一位是#
password

顺利登录。Google得到moodle的RCE漏洞,附上链接

https://blog.ripstech.com/2018/moodle-remote-code-execution/

接下来,进到AGL页面,打开Turn editing on选项
edit

点击添加活动
add

点击Edit quiz
quiz

右边Add a new question
question

将必须填的内容填完,在formula处填上一句话
foumula

点击next page
在URL最后添上反弹shell命令
shell

得到反弹shell
shell2

获得交互式shell

1
python -c 'import pty;pty.spawn("/bin/bash")'

可以查看config,得到数据库的密码,
config

获取数据

1
2
3
4
show databases;
use moodle;
show tables;
select username,password from mdl_user;

mariadb

这个Giovannibak用户的密码是可以破解出来的,之后su命令切换账户,拿到user.txt

root.txt

上传pspy,发现/usr/bin/backup.sh在运行,打开查看
user

脚本将course文件夹下的所有内容打包,在tmp目录下解包

这里我们使用软连接的小技巧绕过

1
ln -s /root courses

root
最后拿到root.txt