Bitlab - HackTheBox
nmap扫描
访问80
一个登录框,这个页面貌似见过,在看看robots.txt
在help目录下发现一个html
进去后前四个都可以点击跳转,第五个是一段js代码
看不明白
搜了一下,这玩意右键把他添加到书签
然后在登录页面点击他
就会自动填充账号密码,看看密码是啥
审查元素中把password的类型修改为text
发现两个项目
这个profile的项目可以编辑,并且我记得robots.txt里面有见过这个目录
访问看看
确实是这个,在里面加个php后门代码
在body里面加
保存
然后合并
反弹个shell
提权
git pull有sudo权限
把网站目录下的文件复制一份到/dev/shm
目录
然后创建一个文件链接
然后在本地创建一个post-merge
文件,内容为反弹shell
让靶机下载
添加执行权限
回到profile目录下,执行git pull
回到网站随便创建一个文件
提交合并
在执行git pull
官方还有一种解法是缓冲区溢出
https://ivanitlearning.wordpress.com/2020/10/22/hackthebox-bitlab/
大致流程是,在靶机上有docker容器,容器中运行有postgresql数据库,通过端口映射到本地进行连接数据库,在数据库中可以发现clave用户的密码
通过切换到clave用户,在家目录下有一个exe文件
这个执行程序通过缓冲区溢出后,会爆出root的ssh连接密码