HackTheBox-Delivery

  • Name:Delivery
  • OS:Linux

0x01 信息收集

NMAP

1
2
3
4
5
6
7
8
9
nmap -p- delivery.htb
22
80
8065

nmap -p 22,80,8065 -A --script vuln delivery.htb
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp open http nginx 1.14.2
8065/tcp open unknown

http-80

直接访问,首页是个静态页面,有个链接 访问会跳转到helpdesk.delivery.htb,添加到/etc/hosts上,访问之后是osTicket 这个东西。

尝试一些现有的漏洞利用,无果。

卡了一段时间,结果在首页的联系我们页面发现这样一段话

For unregistered users, please use our HelpDesk to get in touch with our team. Once you have an @delivery.htb email address, you’ll be able to have access to our MatterMost server.

20210304-13:46:15-_qfwWyO_cX0Meo

嗯,完全理解了!(并没有

它这里说,没有注册的用户,要通过HelpDesk来获得一个邮箱账号,然后利用这个邮箱账号就能访问8065端口mattermost的服务。

http-8065

mattermost是个在线聊天服务,但是没有账号,需要注册,注册要收邮件的一条链接- -。

0x02 利用

经过首页那段话的提示,终于摸到路了。

  1. 先在osTicket中用访客用户新建一个ticket,
  2. 创建好之后会得到一个[email protected]
  3. 在osTicket中,打开检查创建好ticket的状态。
  4. 在mattermost新建账号,邮箱就用创建票据给的。注册好要接受邮件信息
  5. 刷新一下票据状态就,会收到一条激活账号信息
  6. 访问,mattermost账号激活成功。

创建票据。给到的邮箱账号就是票据[email protected]
20210304-13:45:16-_yJUyNe_R9DpHa

20210304-11:53:49-_F2q8Qe_myOfKS

登陆进来后,看下聊天,有root的发言,里面给到了服务器的账号密码。

20210304-11:49:56-_gwZk2a_EDYr4M

maildeliverer:Youve_G0t_Mail!

20210304-11:28:09-_sHHvzz_eNwgYG

0x03 提权

简单枚举一下,在/opt/mattermost/config/config.json中,发现mysql的用户的账号密码。

20210304-12:18:45-_0oYXrt_6b9hc6

mmuser:Crack_The_MM_Admin_PW

1
2
3
4
mysql -u mmuser -p 'Crack_The_MM_Admin_PW'
>
>use mattermost
>select username,password from Users;

20210304-12:23:41-_7u4i69_v2CwTT

root:$2a$10$VM6EeymRxJ29r8Wjkr8Dtev0O.1STWb4.4ScG.anuu7v0EFJwgjjO

呃,已经提示我们要破解他了。嗯,加上前面的聊天记录,猜测密码是PleaseSubscribe!的变种。可以跟着提示利用hastcat的规则来试试破解。

规则我用的是d3adhob0.rule

1
2
3
echo 'PleaseSubscribe!' > password.txt

hashcat -a 0 -m 3200 '$2a$10$VM6EeymRxJ29r8Wjkr8Dtev0O.1STWb4.4ScG.anuu7v0EFJwgjjO' password.txt -r d3adhob0.rule --force

20210304-13:41:41-_IEJFUO_0HVjcX

rooted

20210304-12:46:06-_Bcs9Mr_IWf1Jz

0x04 参考