Bitlab - HackTheBox
Td

image

nmap扫描

image

image

访问80

image

一个登录框,这个页面貌似见过,在看看robots.txt

image

image

在help目录下发现一个html

image

进去后前四个都可以点击跳转,第五个是一段js代码

image

image

看不明白

搜了一下,这玩意右键把他添加到书签

image

然后在登录页面点击他

image

就会自动填充账号密码,看看密码是啥

image

审查元素中把password的类型修改为text

image

发现两个项目

image

这个profile的项目可以编辑,并且我记得robots.txt里面有见过这个目录

image

访问看看

image

确实是这个,在里面加个php后门代码

image

在body里面加

image

保存

image

image

然后合并

image

反弹个shell

image

提权

image

git pull有sudo权限

把网站目录下的文件复制一份到/dev/shm目录

image

然后创建一个文件链接

image

然后在本地创建一个post-merge文件,内容为反弹shell

image

让靶机下载

image

添加执行权限

image

回到profile目录下,执行git pull

image

回到网站随便创建一个文件

image

提交合并

image

在执行git pull

image

image

image


官方还有一种解法是缓冲区溢出

https://ivanitlearning.wordpress.com/2020/10/22/hackthebox-bitlab/

大致流程是,在靶机上有docker容器,容器中运行有postgresql数据库,通过端口映射到本地进行连接数据库,在数据库中可以发现clave用户的密码

image

通过切换到clave用户,在家目录下有一个exe文件

image

这个执行程序通过缓冲区溢出后,会爆出root的ssh连接密码

image