HTB-靶机-Teacher

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.153

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.153 -o ./Teacher-autorecon

就开放了一个80端口，访问web应用并通过burpsuite抓包进行爬取页面，发现如下信息

Hi Servicedesk,

I forgot the last charachter of my password. The only part I remembered is Th4C00lTheacha.

Could you guys figure out what the last charachter is, or just reset it?

Thanks,
Giovanni

从上面得知用户名：Giovanni 密码是Th4C00lTheacha后面有一个特殊符号，此处我们可以通过burpsuite进行爆破，爆破之前根据要求生成好字典，

crunch 15 15 -t Th4C00lTheacha^ -o bmfxpass.txt

上述爬行同样爬出来了很多目录，经过尝试确认存在目录moodle，并有可利用价值

输入正确的用户名和随便一个密码尝试使用wfuzz进行爆破

wfuzz -c -u http://10.10.10.153/moodle/login/index.php -d 'username=Giovanni&password=FUZZ' -w bmfxpass.txt --hh 440

也可以使用burpsuite

最终得出账号和密码

用户名：giovanni:Th4C00lTheacha#

成功登陆后台之后经过测试发现，存在一远程代码执行，详情参考:https://blog.ripstech.com/2018/moodle-remote-code-execution/

利用方式就是添加如下信息然后执行命令即可反弹shell

/*{a*/`$_GET[0]`;//{x}}

具体步骤如下：

点击Save and diskplay

下面是重点

开始反弹shell

拿到shell之后升级为tty-shell查看数据库配置文件

登录数据库，查看用户名和密码

发现4个用户名和密码，其中含有md5加密的用户Giovanni

得到密码su切换到用户giovanni获取到了user.txt

通过pspy枚举运行的进程

查看备份脚本

这里姿势就很多了，主要是利用其能更改权限为777或者使用软连接的形式读取root.txt，我这就使用软件的形式软连接到root根目录

成功获取root.txt