Falafel - HackTheBox
Td

image

nmap扫描

image

image

就俩端口,先看80

image

右上角有个登录框

image

猜不出,扫个目录

image

在cyberlaw.txt中发现了线索

image

他说有个用户可以在不知道密码的情况下登录管理员的账号,难道是sql注入吗

image

貌似不行,但不知道密码的情况下怎么登录

貌似真有可能,由于是PHP站点,盲猜他的密码存储方式是MD5加密,在PHP+MD5的情况下,会导致一个问题,如果密文前两位都为0e,那么后面的数据不相同,PHP也会判断为相同

https://www.cnblogs.com/du1ge/p/13812118.html

image

比如这几个

image

image

尝试一下

image

猜想成立

这里貌似是个远程文件上传,试试反弹shell

image

做了限制

image

image

能访问,但怎么上传php文件

搜了一下,貌似Linux的wget命令有最大字节数限制,如果超过字节数后续的就不会接收,那么可以用这个来绕过上传的限制

先用msf-pattern_create创建一个255长度的字符串

image

用这个创建一个文件,删掉最后四个

image

上传

image

看下长度

msf-pattern_offset -l 255 -q h7Ah

image

232个字符

image

创建一个232长度的字符串

image

往里面写个phpinfo测试一下

image

上传看看

image

很好

image

把反弹shell改名上传

image

提权

image

网站目录下发现了数据库的账号密码

image

没什么利用价值

image

靶机上刚好有一个用户名和数据库的一样,尝试切换过去

image

image

发现一个密钥文件,但登陆不了

实在找不着了,搜了一下wp

image

要搜日志文件

for i in $(groups);do echo -e "\n==========$i=========="; find / -group $i 2>/dev/null; done

cat /dev/fb0 >> screenshot

image

把这玩意下载到本地

安装gimp进行查看

image

image

打开

image

image

修改图片类型和宽度高度

image

得到了yossi用户的密码,这他妈跟ctf一样

image

继续,还是那个命令,看日志文件

image

这次又多了一些

debugfs /dev/sda1

image

可以直接看到flag,但没有获取到权限

image

进.ssh下看看有没有密钥文件

image

有了

image

image