Mango - HackTheBox
Td
  2023-04-25 20:58:29 2023-04-25 20:58   2023-04-25 20:58:29  
 

image

nmap扫描

image

image

image

443端口扫了个域名,添加到hosts文件

看看80端口

image

443端口

image

看出来了,这玩意貌似是个mongodb数据库

在访问域名看看

image

是个登录框,但mongodb是非关系型数据库,不存在常规注入,但有nosql注入,这玩意是个啥原理我也不知道,但会用就行

抓个登录数据包

image

username[$ne]=admin&password[$ne]=123&login=login

image

类似于sql注入的万能密码,但是进来后还是没啥可利用信息

已知存在admin用户,可以利用这个nosql注入,尝试获取用户密码,在网上找了个python脚本

1
2
https://www.hackingarticles.in/mango-hackthebox-walkthrough/
https://github.com/m3n0sd0n4ld/Miscellaneous/blob/main/NoSQL.py

image

先获取一下admin的密码

image

有没有可能,这个密码就是ssh密码

image

不知道是密码错误还是不让ssh登录,在看看有没有其他用户

image

这登录界面的欢迎语

image

以及这个图片,是不是可能存在mango这个用户名,尝试一下

image

很对,再用这个试试ssh

image

提权

image

image

但这玩意好像只有root和admin用户有权运行,mango不行,尝试用之前获取的admin密码su过去

image

这个网站给的方法不行,找到了另一种方法

image

先运行jjs

1
2
Java.type('java.lang.Runtime').getRuntime().exec('cp /bin/bash /tmp/bash').waitFor()
Java.type('java.lang.Runtime').getRuntime().exec('chmod u+s /tmp/bash').waitFor()

image

这样就创建了一个bash的suid执行文件,运行后即可获得root权限

image