HTB-Toolbox

信息收集

使用nmap简单扫描一下网站端口。

• 21 ftp
• 22 ssh
• 443 https？

去https看看。

网站基本是静态的。因为是https，所以有ssl协议，去看看吧。

more information里面能找到协议。

找到admin.megalogistic.com子域。

进行简单的sql注入判断。

能看到sql查询的语句SELECT * FROM users WHERE username = 'admin'' AND password =md5('')。使用admin'or'1绕过登录进入网站。

除了管理员留下来的待办事项就没有有用的信息了，管理员提醒自己要把账号信息发给Tony用户更新打印设备。找到许多有关网站各种应用版本的漏洞利用，但缺少一个可交互的平台。

看到登录就想到sqlmap的os-shell。

因为我们是https，所以要加上–force-ssl。

现在有两个选择，第一个是看看数据库是不是有相关的登录信息。第二个直接开os-shell，因为前面我们有相关的利用，所以优先第二个选择。

sqlmap -r sql --batch -level 5 -risk 3 --force-ssl --os-shell
1

能够顺利shell。

在sqlmap上使用shell不太方便，所以连接到本地端口使用shell，并且这个shell非常不稳定。

让我们速战速决，以找到稳定shell为目标。

查看ip的时候发现一个IP。

对172.17.0.2/24网段以及255歌端口做一个扫描，但是没有ping命令。

根据经验判断172.17.0.1应该是存活的，不过还有东西没利用上，那就是ftp。

不用下文件，因为目前能靠文件名获取有价值的信息,经过搜索知道适用于老旧mac或window系统，并让其快速搭建docker环境。把docker toolbox 和ssh结合起来。

docker@ip:tcuser
1

猜测docker主机是172.17.0.1，简易的扫描表名22 ssh端口开启。

成功登录docker主机。

提权

经过一番搜索发现根目录有一个c文件。

并且在管理员文件内发现了.ssh。