信息搜集 nmap扫描一下端口
nmap -sV -sC -p- -v --min-rate 1000 10.10.11.227
发现有两个端口,22端口为ssh服务,80端口是http服务 尝试访问一下80端口 提示我们要访问 tickets.keeper.htb/rt/ ,访问发现不行 那么把该域名添加到hosts里面
tickets.keeper.htb/rt/
访问发现是登录框,对应的request tracker系统版本为4.4.4不过没有发现可以利用的漏洞 我们在GitHub上找到对应的开源项目,知道默认用户和密码
成功登录,在 Admin -> Users -> Select 处找到用户lnorgaard信息和密码 直接ssh连接 提升下交互权限,拿到user的flag 然后ls发现有个zip文件,unzip解压后有两个文件
Admin -> Users -> Select
KeePass
KeePass是一个免费且开源的密码管理器,它可以帮助您存储和管理密码。它的设计目的是为用户提供一个安全的方式来管理他们使用的各种帐户的登录凭据,如用户名和密码。KeePass使用强加密算法将您的密码和其他敏感信息存储在一个加密的数据库中
用KeePass关键词去阿里云漏洞库搜一下,找到漏洞 访问该漏洞参考链接第二条,拉到最下面点击CMEPW的poc 用scp命令将该py文件上传到靶机 按照步骤来 得到了一串类似于密码的,我们去搜一下发现是一个菜名 现在我们拿到密码后就要去连接数据库,先更新一下
sudo apt-get update
然后下载工具
sudo apt install keepassx
scp命令把目标文件复制到本地 然后双击打开,输入密码 rødgrød med fløde 在network找到root用户密码 尝试ssh连接不行 进一步发现备注是密钥文件,那么我们可以转换为OpenSSH私钥格式 把整个备注复制到1.txt,然后执行下面命令转换
rødgrød med fløde
puttygen 1.txt -O private-openssh -o id_rsa
然后ssh以私钥登录 得到root权限和flag