Before all
沒想像中難ㄉ靶機,好欸今天晚上目前打了兩台owob也順便先去把昨天的wifi給打完了
Attacker’s IP : 10.10.14.92
Victim’s IP : 10.10.11.245
Victim’s Host : surveillance.htb
Write up
RECON
打HTB以來一直想直接跳過這步驟的撰寫
port scan
port 22是ssh
port 80是一個web服務
Exploit
CVE-2023-41892
連進去web服務,發現是由 Craft CMS 建立的:
本來打算用2024年的另一個CVE打不過發現有patch,經過簡單的搜尋就改成使用CVE-2023-41892的漏洞直接進行RCE。
使用腳本:https://gist.github.com/to016/b796ca3275fa11b5ab9594b1522f7226
彈到 port 1004 get shell
Privilege Esacalation
password cracking
彈進去的時候所在的目錄是:/var/www/html/craft/web/cpresources
簡單逛兩圈就會在/var/www/html/craft/storage/backups 發現一個zip檔案:surveillance--2023-10-17-202801--v4.4.14.sql.zip
在目標主機用python3 -m http.server簡單建立一個http server後把檔案抓回來解壓縮後看,發現使用者matthew的密碼hash
利用密碼爆破工具john搭配rockyou.txt進行字典攻擊:
command:
1 | john pass --wordlist=~/rockyou.txt --format=Raw-SHA256 |
用su切去matthew的身分就好 :D
Exploiting ZoneMinder
在linpeas裡面看到這個,上網google一下然後全部都是Write up
總之,他在內網開了一個ZoneMinder的服務,要先把它串出來:
command:
1 | ssh -L 8091:127.0.0.1:8080 matthew@10.10.11.245 |
接著利用CVE-2023-26035的漏洞拿RCE
https://github.com/rvizx/CVE-2023-26035/blob/main/exploit.py
在本地彈到使用者zoneminder的權限
這麼做的目的應該就是讓它可以合理操控zoneminder的相關perl腳本(?)
https://vk9-sec.com/privilege-escalation-zoneminder-scripts-command-injection-local/
上網google找到這個command injection,照打:
1 | sudo /usr/bin/zmupdate.pl --version 1 --user='$(/bin/bash)' |
發現無法輸出,只好再串一個reverse shell出來(
結束owob
After all
今天晚上還會再打一台麻~
挑題easy的練手感(?)