下載地址:https://www.vulnhub.com/entry/enubox-mattermost,414/
前言:
作爲小白(後面省略好幾個字),文中提到的工具僅用於學習。
Kali:192.168.109.129
目標機:192.168.109.140
信息收集:
Udp掃描:
漏洞挖掘:
從nmap掃描結果來看,ftp可以匿名登錄,先登錄ftp,看看有沒有有用信息。
啥也沒有。接下來先訪問一下這個8065端口。
登錄界面,mattermost是個時時通訊的通訊平臺。對於模板,可以看看有沒有直接利用的漏洞。最好能找找版本,所以可以先簡單爆破一下目錄,看有沒有提示。然而只找到了robots.txt。
但是內容沒啥。那就先看看已知漏洞吧。當然也可以試試弱密碼。但都沒有。進一步爆破目錄試試。爆破目錄都是image目錄,而且也沒有結果。唯一的變化就是目錄名變到了redirect_to參數後面,參數翻譯是重定向到。
一想到重定向,會不會有包含文件漏洞,但是沒有,遠程、本地都沒有,輸入百度網址,網頁都跳轉不過去。從udp掃描結果來看,出現一個tftp,連接一下tftp。但是又有迷惑行爲,就是連接上後,列不出文件,想起訪問80端口的時候有個README.md文件,可以嘗試下載,結果下載成功。
打開查看
好像是用戶名和密碼。現在嘗試一下登錄。
登錄成功。拿到後臺權限後,就要getshell,getshell就想到類似於WordPress那種,修改主題頁面,結果找了一圈都沒有,反而發現了一個文件上傳點,就是上傳頭像的地方,但是傳了一堆都沒用。看着首頁密密麻麻的英文,發現反覆出現一個zoom,雖然也不知道是啥,但是在插件管理裏發現了這個zoom插件。
我先點擊的enable,但是報錯,於是就進入了setting,發現一個本地網址。
訪問看一下,發現ftp的用戶名和密碼。
登錄ftp
登錄後發現是一個用戶目錄,此時看看有沒有.ssh文件,如果有的話就本地生成密鑰,然後ssh連接。
沒有的話可以創建,但是發現一個users文件夾,好奇心驅使我進入看看。一層層進入後,發現一個可讀文件。
下載下來,看看內容是什麼。
我靠。直接寫密鑰吧(往.ssh文件夾裏面添加公鑰,進行ssh登錄)。先看看有沒有寫權限,沒有寫權限(圖略)。想來想去,ftp登錄密碼會不會是ssh登錄的密碼,嘗試一下(圖略),然而也不是。後來,隔了好久,在網上看到了別人的解答辦法,我驚奇的發現,這個“Welcome!!!”居然是ssh連接的密碼!用戶名是mattermost。
提權:
接下來繼續自己走,在該用戶的文件夾下發現了一個文件。使用“find *”是因爲
還是帶s的可執行文件,先執行以下看看吧。
突然想起有個README文件啊,看看,發現密碼。
再次執行看看。現實很打臉。
仔細翻譯README後,結合README的創建日期,發現密碼是過期了。下一步是要找新的密鑰。翻譯是聯繫服務檯,可是,服務檯去哪找,不如分析一下這個文件,逆向看看有沒有什麼破綻。使用Python開個服務器,下載過來,前提是它確實可以被複制。然而Python沒有這個SimpleHTTPServer模塊。80端口沒寫權限,那就去找mattermost文件。然而沒找到。然而用nc傳吧。
獲取文件後,進行反編譯(逆向確實不會,得到結果是因爲雖然不瞭解原理,但是用用kali自帶的工具看看,學習一下使用工具,然後就搞出了下面這個圖,工具是rd2,對於下面這個圖大致能看懂一點。看樣子也要學學逆向了),
發現如果等於0xf447,則通過,十六進制轉化後獲得密碼62535。
提權成功。
