HTB-cozyhosting Walkthrough
运行环境:macOS 13.2.1; Parallel Desktop: Kali Linux 2022.2 ARM64; Windows 11
靶机链接:Seasonal靶机
过程
信息收集
在/etc/hosts
中添加域名DNS后,使用dirsearch
进行子目录爆破:
![](/2023/09/10/5-HTB-cozyhosting-Walkthrough/1.png)
Web部分
访问/actuator
,这是spring
框架下的一个组件:
![截屏2023-09-04 22.24.05](/2023/09/10/5-HTB-cozyhosting-Walkthrough/2.png)
查看/actuator/sessions
可以获得该站点的SESSIONID
,其中jq
命令用于处理JSON数据:
![截屏2023-09-05 10.17.15](/2023/09/10/5-HTB-cozyhosting-Walkthrough/3.png)
在登录页面输入,提交后抓包修改SESSIONID
。此后每一个数据包均对SESSIONID
进行修改,即可登录admin页面
![截屏2023-09-05 10.18.02](/2023/09/10/5-HTB-cozyhosting-Walkthrough/4.png)
登录admin页面后发现存在两处输入框。其中username
参数存在RCE,尝试反弹shell:
![截屏2023-09-05 11.06.24](/2023/09/10/5-HTB-cozyhosting-Walkthrough/5.png)
上述方式没有成功,尝试使用curl方式反弹shell。在kali的/var/www/html
目录下创建脚本文件,并打开apache服务:
![截屏2023-09-05 11.14.47](/2023/09/10/5-HTB-cozyhosting-Walkthrough/6.png)
使用curl命令反弹shell,可以发现已经成功获得shell:
![截屏2023-09-05 11.15.07](/2023/09/10/5-HTB-cozyhosting-Walkthrough/7.png)
主机立足
查看当前目录,发现存在一个jar文件。尝试scp方式,但服务器未开启ssh服务。转而使用python开启服务:
![截屏2023-09-06 09.09.31](/2023/09/10/5-HTB-cozyhosting-Walkthrough/8.png)
从而在kali上可以下载到该文件:
![截屏2023-09-06 09.09.37](/2023/09/10/5-HTB-cozyhosting-Walkthrough/9.png)
审阅该文件发现存在数据库的登录信息:
![截屏2023-09-06 09.25.10](/2023/09/10/5-HTB-cozyhosting-Walkthrough/10.png)
还可以使用如下命令,无需打开jar包,直接对敏感信息进行查找:
![截屏2023-09-06 09.32.13](/2023/09/10/5-HTB-cozyhosting-Walkthrough/11.png)
使用该登录信息登录数据库,查看现有数据库并切换到cozyhosting
数据库:
![截屏2023-09-06 10.19.45](/2023/09/10/5-HTB-cozyhosting-Walkthrough/12.png)
查看现有表,并查看users
表中的内容,获得两个登录密码的哈希值:
![截屏2023-09-06 10.22.05](/2023/09/10/5-HTB-cozyhosting-Walkthrough/13.png)
使用john
破解得到某一用户的登录密码:
![截屏2023-09-06 11.53.02](/2023/09/10/5-HTB-cozyhosting-Walkthrough/14.png)
查看/home
目录,以查看登录所需的用户名:
![截屏2023-09-06 11.53.57](/2023/09/10/5-HTB-cozyhosting-Walkthrough/15.png)
使用josh
用户和破解得到的密码进行ssh登录:
![截屏2023-09-06 11.54.40](/2023/09/10/5-HTB-cozyhosting-Walkthrough/16.png)
得到userflag:
![截屏2023-09-06 11.57.22](/2023/09/10/5-HTB-cozyhosting-Walkthrough/17.png)
提权
查看当前用户权限,可以免密以root身份运行ssh:
![截屏2023-09-06 11.59.35](/2023/09/10/5-HTB-cozyhosting-Walkthrough/18.png)
在GTFOBins查找提权命令:
![截屏2023-09-06 12.01.23](/2023/09/10/5-HTB-cozyhosting-Walkthrough/19.png)
提权成功,获得systemflag:
![截屏2023-09-06 12.06.06](/2023/09/10/5-HTB-cozyhosting-Walkthrough/20.png)
总结
- spring框架下的actuator组件,存在敏感信息泄漏漏洞。 从而导致session会话劫持攻击
- admin页面存在RCE漏洞
- jar包存在敏感信息泄漏漏洞
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Yunsaijc's Blog!