Sea

攻防渗透
, ,

信息收集

1
2
3

nmap -sC -sV -O 10.10.11.28

这是扫描结果开放了80,22端口去访问80端口看看信息

在点击这个contact链接的时候给我们跳到一个域名上去了发现访问不了所以考虑加入hosts解析。

然后我们用dirsearch、gobuster同时扫描下目录看看有什么发现,这是dirsearch的结果

可以看到扫描出的结果都是我们能够在页面点击到的

1
2
3

gobuster dir -u http://sea.htb -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x ,.php,.zip,.rar,.txt,.html,.git,.svn

在扫描的过程中我们去搜索下cms中的特征velik71找到一个漏洞跟他有关系尝试利用一下

漏洞利用

参考:https://github.com/insomnia-jacob/CVE-2023-41425

可以看到成功接收到shell

去网站根目录下/var/www/sea/ 翻翻文件翻到一个js文件里面存在密码

使用字典爆破一下,记得把\去掉在用

1
2
3

$2y$10$iOrk210RQSAzNCx6Vyq2X.aJ/D.GuE4jRIikYiWrD3TM/PjDnXm4q

1
2
3

hashcat '$2y$10$iOrk210RQSAzNCx6Vyq2X.aJ/D.GuE4jRIikYiWrD3TM/PjDnXm4q' -m 3200 /usr/share/wordlists/rockyou.tx

爆破出来密码

看到他家目录下有俩用户登录试试,使用amay登录成功

提权

看到开放了8080 和 48551端口 映射到我们本地访问一下

1
2
3

ssh -L 8080:localhost:8080 amay@sea.htb

抓包看看

发现可以任意文件读取

并且可以进行命令执行直接读取flag即可