HTB-Horizontall

信息收集

网页打开是这样。

目录扫描。

找到一个脚本。

开机

使用单引号能够成功反弹。

提权

在如下图位置找到数据库相关信息。

直接使用su切换会出现如下问题。

可以使用python -c 'import pty; pty.spawn(“/bin/sh”)'解决。

但是上面获得的凭证不能登录developer用户，但是可以登录mysql服务。

由于管理员信息表是上面的脚本创建的凭证。

所以去看看其他表，对于这种有短横线的表名，要使用重音符号将其包围。

但是一无所获呢。

发现本地有一个8000端口不知道运行着什么。
想通过ssh来实现端口转发，所以需要在本地生成一个id_rsa文件，在反弹shell的初始位置建立个.ssh文件开始生成文件。

将公钥复制到一个authorized_keys文件里，然后使用ssh进行端口转发。

访问localhost:8000。

因为上面脚本里面包含了这个laravel的脚本，所以就没有再根据版本找到对应脚本了。

根据那啥monolog知道phpgcc。

并且通过搜索对应利用也找到了这篇文章。

这篇给的命令有点复杂先试试只用前面的部分代码php -d 'phar.readonly=0' phpggc Monolog/RCE1 system id --phar phar -o /tmp/exploit.phar。

很可惜前面脚本并不适用，于是又找到了一个新的脚本。

看似生成了但是没有返回，该怎么确定是否真的成功了呢。

接下来可以获得root了。