代码编织梦想

简介

靶机地址:EnuBox: Mattermost ~ VulnHub
Name:EnuBox:Mattermost
靶机介绍:The Mattermost chatting system may or may not hold sensitive information. Can you find your way in?

信息搜集

拿到靶机 IP 之后上神器 NMAP 对它就是一顿梭哈:

1
nmap -A -p- -T4 192.168.1.137

扫描完成后,发现它开放了 21(ftp)、22(ssh)、80(http)、3389(XRDP远程桌面)、8065(web) 端口。

其中 ftp 可以用匿名用户 anonymous 登陆:

由上图所示登陆到它的 ftp 后没有显示任何文件!那么我们还是先来看看 web (80、8065)的目录文件把:

1
2
dirb http://192.168.1.137
dirb http://192.168.1.137:8065

枚举目录出来后先是看了 80 端口的 index.html,它显示的是 403 没有找到,但是页面上的信息提示有一个 README.md 的文件:

我访问 README.md 发现是 404:

1
http://192.168.1.137/README.md

这个时候先放弃 80 端口,来到 8065 端口看看,它扫描出来是有一个 robots.txt 文件,访问但是空白的:

1
http://192.168.1.137:8065/robots.txt

这个时候我直接访问它的首页发现是一个登陆页面:

1
http://192.168.1.137:8065/login 

tftp下载README.md文件

它使用的 CMS 是 Mattermost ,它是一款易于使用、经过简化且可扩展的团队通信和企业消息传送系统。

尝试若口令无果,Google 上只有它的默认 Mysql 的账号密码,我用来尝试登陆 Web 无果。

思路回到上面,刚刚打开 80 端口的 Web 页面它提示了一个 README.md
文件,是不是作者告诉我们那个是关键点呢?刚好我们有了它的 ftp 匿名用户可以登陆,但是刚刚看过了没有任何文件,正当我一筹莫展的时候我下意识的在 tftp 里尝试能不能把 README.md 下载到本地,没想到真成了!

1
2
3
# 因为我写到这里的时候是第二天了,我重启后靶机的 IP 就变成 192.168.1.138 了!
tftp 192.168.1.138
# TFTP是一个传输文件的简单协议,它基于UDP协议而实现的。

把 README.md 下载到本地打开后发现我们得到了一个账号和密码:

1
admin:ComplexPassword0!

随后我登陆到了它到后台:

1
http://192.168.1.138:8065/login

来到后台后我大致看了看它的后台消息,翻译过来好像是一些没用的诗句?

额。。。先不管它!我又去了 exploit-db 上寻找了有关 Mattermost 的漏洞,但是没有得到我想要的信息:

Mattermost-后台获取FTP账号密码

随后我在后台的头像以及能上传的地方尝试看看能不能获取到一枚 webshell,很显然我没成功,我太菜了。

正当我一筹莫展的时候我发现了一个系统控制台找到了一个插件 zoom

它默认是 False 关闭的,我把它开启 True 后得到了一枚 URL

1
http://localhost/JK94vsNKAns6HBkG/AxRt6LwuA7A6N4gk/index.html

这个时候我是在 8065 端口打开的 URL 发现没有这个页面:

但是用 80 端口的 web 去访问这个页面的时候却得到一段提示:

1
http://192.168.1.138/JK94vsNKAns6HBkG/AxRt6LwuA7A6N4gk/index.html

1
Hello Admin, FTP credentials help you edit, transfer and delete files from your site. This is why it's important to keep these credentials handy. FTP Credentials: ftpuser / ftppassword Make sure to keep these to yourself. 

通过这个提示我有得到一枚账号和密码,是 FTP 的:

1
ftpuser:ftppassword

随后我便用得到的账号和密码成功登陆到它的 FTP 服务里:

1
ftp 192.168.1.148

获取到SSH的账号密码

登陆进去后发现有一个 examples.desktop 文件,还有一个 users 目录、mattermost 目录下有一个 message 文件,我把他们都下载到本地后查看了一下examples.desktop 文件没发现什么:

查看 message 文件发现里面有一段话:

这个时候有点懵了,整半天你给我了一句 Welcome!!! ?但是后来把一切结合起来想了想,刚开始是有一个 users 目录,然后是 mattermost 目录下有一个 message 文件,文件内容是 Welcome!!!

柯南:真実はいつも一つ(真相只有一个),mattermost 是一个用户名,而 message 文件内容 Welcome!!! 就是密码!!!按照我这个推理我尝试登陆到它到 SSH 没想到真成了!!!

1
2
3
USER:mattermost
PASS:Welcome!!!
ssh mattermost@192.168.1.138

玩 CTF 靶机就是要多思考,根据我们得到到信息要去想它为什么会有这个信息?这个信息的线索是干嘛的?我可以用得到的信息做写什么?

毕竟CTF 就是这样不按常理出牌,你得像个黑客,以黑客的思维去思考问题!

登陆到 mattermost 用户后,我习惯性的 sudo -l 发现它没有权限去执行 sudo,需要密码:

接着我查看了一下有没有一些文件可以以 SUID 权限去执行:

1
find / -perm -u=s -type f 2>/dev/null

结果发现了刚好有一个文件 secret 文件是可以以 SUID 权限执行的,而且刚好在我所登陆的 mattermost 用户的 家目录下的桌面:

1
/home/mattermost/Desktop/secret

逆向分析secret文件获取Flag

随后我来到了 mattermost 用户的家目录,里面有一些目录和文件,除了 Desktop 目录里有文件,其他目录都是空的!

我先是看了看 README.md 文件,发现里面是一段话,大概意思是你有一个密钥,而且在 30 天后会过期

1
2
3
4
5
6
7
8
Hello User,

Your secret key is 48912.

Do not share this key with anyone.

!! NOTE:: This key is not valid after 30 days and has been changed by our internal systems.
!! NOTE:: Please contact the support desk to get new secret key.

吓的我迫不及待地去运行 secret 文件,运行后它让你输入密码,我用刚刚得到的密码发现出错了:

很显然密码以及过期了!这个时候怎么办呢?我先是把 secret 文件使用 nc 传到 KALI

之后各种百度各种Google关于逆向的文章,临时拜佛脚! WEB狗表示伤不起,一路硬钢下来的!呜呜呜~~~

经过查看源代码发现了一段代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
undefined8 main(void)

{
  long in_FS_OFFSET;
  int local_14;
  long local_10;
  
  local_10 = *(long *)(in_FS_OFFSET + 0x28);
  local_14 = 0;
  puts("Hello Admin, Please enter the secret key:");
  __isoc99_scanf(&DAT_00100992,&local_14);
  if (local_14 == 0xf447) {
    setuid(0);
    setgid(0);
    system("/bin/bash");
  }
  else {
    printf("Your is either invalid or expired\n.");
  }
  if (local_10 != *(long *)(in_FS_OFFSET + 0x28)) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return 0;
}

拿到源代码之后开始审计,幸好以前学过一点点 C 语言,还是能看懂一点的,具体是要让 local_14 的值等于 0xf447 ,这个时候就成功运行 system 函数,切换到 /bin/bash !0xf447 是十六进制,我把它转化为十进制为:62535

最后运行 secret 文件获得 root 权限!

最终也是在 /root/Desktop 下拿到 Flag

交流群:

 微信公众号:

 知识星球:

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36304918/article/details/124679444

vulnhub-------docker_containement_大方子的博客-爱代码爱编程

=========================== 个人收获: 1.利用reGeorg+Proxifier进行内网渗透 2.学会wpscan 3.学会了Docker Remote api   =============================   下载地址:https://download.vulnhub.com/vulne

利用vulnhub复现漏洞 - apache log4j server 反序列化命令执行漏洞(cve-2017-5645)_建瓯最坏的博客-爱代码爱编程

Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645) Vulnhub官方复现教程漏洞原理 复现过程启动环境漏洞复现payload检测 Vulnhub

No.41-VulnHub-DEFCON Toronto: Galahad-Walkthrough渗透学习-爱代码爱编程

** VulnHub-DEFCON Toronto: Galahad-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/defcon-toronto-galahad,194/ 靶机难度:初级(CTF) 靶机发布日期:2017年6月1日 靶机描述: Defcon Toronto于2016年9月主办的在线

Vulnhub-xxe靶机通关,获取最终flag-爱代码爱编程

靶机下载地址:https://www.vulnhub.com/entry/xxe-lab-1,254/ 1、 信息收集,nmap探测靶机地址 得到目标地址192.168.248.168,只开放80端口 2、 使用御剑对目标网站后台扫描 3、 发现存在信息页面 4、 访问/xxe路径 5、 传参抓包,得知通过xml传参 6、

vulnhub-DC系列通关记DC1靶机渗透-爱代码爱编程

声明:此文章仅供参考学习,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。 目录 flag1 信息收集 漏洞利用 后渗透 flag2 flag3 flag4 最终flag DC1靶机:链接: https://pan.baidu.com/s/1vtl4H4MKF9dqMjVxS0H4WA  密码: r5eg

Vulnhub-靶机-PRIME: 1-爱代码爱编程

今天发现了一个有趣的靶机,加载到本地VMware Workstation工作站进行漏洞复现 靶机下载地址 https://www.vulnhub.com/entry/prime-1,358/ 对目标进行扫描发现开放端口信息 nmap -sS -sV -p- -T5 100.100.100.130 浏览器访问,并对其进行目录扫描 di

《Vulnhub通关手册》——01 DC-1-爱代码爱编程

​背景概述: 下载地址为:https://www.vulnhub.com/entry/dc-1-1,292/ 本次靶机IP为192.168.2.11 技术要点: drupal7漏洞利用SUID的find命令提权1. 信息收集 1.1 扫描目标主机IP 使用arp-scan进行局域网扫描,使用命令arp-scan -l,扫描结果如下:

《Vulnhub通关手册》—— 03 Raven-1-爱代码爱编程

背景概述: 下载地址:https://www.vulnhub.com/entry/raven-1,256/ 本次的靶机IP为100.10.10.132,将该IP地址添加到hosts文件内,映射到域名raven.local。 技术要点: 使用wordpress对该类型cms站点进行扫描使用cupp生成字典使用hydra进行密码爆破数据库操

Vulnhub-shenron-2:神龙2靶机渗透攻略-爱代码爱编程

下载地址https://www.vulnhub.com/entry/shenron-2,677/ 启动环境virtualbox,若启动报错更改虚拟机中usb配置为1.1即可 需要获得两个flag ​ 信息收集 nmap扫描 nmap -sC -sV 192.168.210.220 发现22ssh,80和8080http ​ ​ 网站信息 8

Vulnhub-shenron-3:神龙3靶机渗透攻略-爱代码爱编程

下载链接:https://www.vulnhub.com/entry/shenron-3,682/ 需要拿到两面flag ​ 信息收集 nmap扫描 nmap -sC -sV 192.168.210.209 只有一个80端口 网站信息收集 看来得添加hosts解析,跟同系列靶机一个套路 页面正常 发现cms还是wordpress 目录

Vulnhub之Web-Machine-N7-爱代码爱编程

靶机下载地址: Web Machine: (N7) ~ VulnHubWeb Machine: (N7), made by Duty Mastr. Download & walkthrough links are available.https://www.vulnhub.com/entry/web-machine-n7,756/Difficul

CTF-AWD-Yunnan_1防守和攻击-爱代码爱编程

前言 首发在个人博客👉个人博客地址 需要提前安装好AWD👉个人AWD的安装。 一.搜索框SQL注入 通关搜索框,发现有注入逻辑,下图👇 根据逻辑可以写出payload如下,在搜索框输入即可获得flag aa%' union select 1,load_file('/flag'),3# 1.SQLMAP注入写入文件 这个方法是偶尔看见的

【Vulfocus漏洞复现】redis-cnvd_2019_21763、redis-cnvd_2015_07557-爱代码爱编程

vps:腾讯云 centos8 本地:windows11 靶场环境:http://123.58.236.76:47109/ 在vps上执行以下命令 git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand cd RedisModules-ExecuteCommand/ make

vulnhub-爱代码爱编程

靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机描述:欢迎使用“ IMF”,这是我的第一个Boot2Root虚拟机。IMF是一个情报机构,您必须骇入所

vulnhub靶机练习-爱代码爱编程

DC-1 靶机详情靶机安装靶机练习信息收集漏洞利用 总结: 信息收集工具:nmap探测存活主机、扫描端口组件版本 漏洞利用:kali-Metarsploit 交互式shell:python -c

vulnhub靶场渗透-爱代码爱编程

Vulnhub简介 Vulnhub是一个提供各种漏洞环境的一个靶场平台,大部分环境都是虚拟机镜像文件,预先设计各种漏洞 需要使用VMware或VirtualBox 运行,每个镜像都有破解的目标,从启动虚拟机到获取系统的 r