Ambassador靶机
n3ym4r
  2023-01-31 18:51:14 2023-01-31 18:51   2023-02-01 14:06:32    669 字  2 分钟

Ambassador靶机

image

信息收集

打开靶机环境,拿到靶机ip

nmap扫描端口

image

扫出22 80 3000 3306端口

访问80以及3000端口

image

文章提示,有一个developer账户可以去访问ssh

image

访问3000端口发现是Grafana系统

3000端口漏洞发现

Google一下,发现有任意文件读取漏洞

image

任意文件读取漏洞利用

同时,searchsploit也能搜到这个漏洞,可以直接利用exp

image

image

image

可以看到读取 /etc/passwd 成功,也就意味着可以读取到任意文件,那么我们可以读一下这个Grafana系统的配置文件来获取信息

google一下,得到配置文件路径 /etc/grafana/grafana.ini

image

读取配置文件,翻看找到数据库配置以及网站用户名密码

image

image

登入网站后台,没发现什么有用的信息

image

grafana.db数据库查找

这时候可以将数据库脱出来,查找3306端口的用户名密码

先将grafana.db下载下来,这样就可以用命令来操作

image

这里用到–path-as-is 不会压缩url,如果不用就会把../../../给忽略就会访问不到数据库文件

image

3306端口连接

在data_source下找到mysql用户名和密码,账号:grafana 密码:dontStandSoCloseToMe63221!,拿去登录3306端口

image

连接成功,一通操作,在whackywidget数据库里找到了developer用户的密码,根据80端口的网站提示,这个用户可以登录ssh,base64解密后登录ssh。

image

解码得到明文密码

22端口连接

image

成功连接

image

拿到了user权限,同时得到了user的flag

提权

这时候我们需要提权到root用户权限获取flag

1.内核提权

image

image

可以看到,没有可用的exp

2.sudo提权

https://blog.csdn.net/god_zzZ/article/details/113628793

image

可以看到不存在该漏洞,无法提权

3.SUID提权

https://blog.csdn.net/Fly_hps/article/details/80428173

image

没有能够用来提权的目标

4.计划任务提权

https://blog.csdn.net/q20010619/article/details/121422797

image

没有可利用的点

5./git consul API提权

image

可以看到,开了一个consul服务

https://www.infosecmatter.com/metasploit-module-library/?mm=exploit/multi/misc/consul_service_exec

这个服务的目标端口为80、443、3000、8000、8008、8080、8443, 8500、8880、8888

查看开了哪些端口

image

确定服务器是用8500端口开的这个consul服务

访问失败

image

直接跑msf里的exp也失败

端口转发

已知之前nmap扫端口也没扫到8500,容易得打,8500端口只对内网开放,这时候就需要将端口转发到本地

image

反弹shell

利用msf中的exp

image

查看需要配置的参数进行配置

image

反弹成功

image

得到flag

  • 本文标题:Ambassador靶机
  • 本文作者:n3ym4r
  • 创建时间:2023-01-31 18:51:14
  • 本文链接:https://n3ym4r.github.io/2023/01/31/Ambassador靶机/
  • 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!