HackTheBox-Luanne
- Name:Luanne
- OS:NetBsd
0x01 信息收集
NMAP
1 | PORT STATE SERVICE VERSION |
9001
9001端口,google搜索存在rce漏洞,利用不成功。
80
直接访问需要凭证。
/weather 访问404,但是不需要凭证。
发现forecast,访问的话要求添加city参数。
都是一些城市的天气信息。
手动添加了个单引号进行测试,发现报错,可能存在注入
0x02 漏洞利用
因为没怎么学习过LUA的漏洞,,所以临时抱下佛脚Lua Web Application Security Vulnerabilities
1 | curl 'http://luanne.htb/weather/forecast?city=list%27)%20print(%27id)(' |
解密得
webapi_user:iamthebest
查看/etc/supervisord.conf配置文件获得9001端口账号密码
user:123
版本4.2不存在之前Google到到漏洞。
看进程可以发现3001端口还有一个web服务,和3000端口到类似,不过3001端口则是用户r.michaels运行的。
服务器响应头中有 bozohttpd/20190228,
google 这个组件会发现存在三个漏洞。
利用CVE-2010-2320漏洞。curl --user webapi_user:iamthebest http://127.0.0.1:3001/~r.michaels/id_rsa
获取到id_rsa
复制到本地,并修改好权限600
0x03 提权
backups下有个enc后缀的压缩包。google搜索 netbsd enc,可以搜出两个命令,一个是netpgp一个是openssl_enc命令.
openssl_enc not found,所以尝试netpgp。
1 | netpgp --decrypt devel_backup-2020-09-16.tar.gz.enc --output=/tmp/a.tar.gz |
解密得littlebear
但是不能su,netbsd系统su得普通用户在wheel组,但是有doas。这是一个可以代替sudo得程序。
1 | doas -u root /bin/sh |