HackTheBox-Delivery
- Name:Delivery
- OS:Linux
0x01 信息收集
NMAP
1 | nmap -p- delivery.htb |
http-80
直接访问,首页是个静态页面,有个链接 访问会跳转到helpdesk.delivery.htb
,添加到/etc/hosts上,访问之后是osTicket 这个东西。
尝试一些现有的漏洞利用,无果。
卡了一段时间,结果在首页的联系我们页面发现这样一段话
For unregistered users, please use our HelpDesk to get in touch with our team. Once you have an @delivery.htb email address, you’ll be able to have access to our MatterMost server.
嗯,完全理解了!(并没有
它这里说,没有注册的用户,要通过HelpDesk来获得一个邮箱账号,然后利用这个邮箱账号就能访问8065端口mattermost的服务。
http-8065
mattermost是个在线聊天服务,但是没有账号,需要注册,注册要收邮件的一条链接- -。
0x02 利用
经过首页那段话的提示,终于摸到路了。
- 先在osTicket中用访客用户新建一个ticket,
- 创建好之后会得到一个[email protected],
- 在osTicket中,打开检查创建好ticket的状态。
- 在mattermost新建账号,邮箱就用创建票据给的。注册好要接受邮件信息
- 刷新一下票据状态就,会收到一条激活账号信息
- 访问,mattermost账号激活成功。
创建票据。给到的邮箱账号就是票据[email protected]
登陆进来后,看下聊天,有root的发言,里面给到了服务器的账号密码。
maildeliverer:Youve_G0t_Mail!
0x03 提权
简单枚举一下,在/opt/mattermost/config/config.json中,发现mysql的用户的账号密码。
mmuser:Crack_The_MM_Admin_PW
1 | mysql -u mmuser -p 'Crack_The_MM_Admin_PW' |
root:$2a$10$VM6EeymRxJ29r8Wjkr8Dtev0O.1STWb4.4ScG.anuu7v0EFJwgjjO
呃,已经提示我们要破解他了。嗯,加上前面的聊天记录,猜测密码是PleaseSubscribe!
的变种。可以跟着提示利用hastcat的规则来试试破解。
规则我用的是d3adhob0.rule
1 | echo 'PleaseSubscribe!' > password.txt |
rooted!