首先连接靶机后直接使用fscan扫描

image-20250116144818733

重点看80端口和8080端口,80端口如下所示

image-20250116144847362

8080是一个未授权访问页面

image-20250116144934992

扫了一下路径,发现都会进行跳转,应该是没有权限导致的

image-20250116144952044

接下来我们重点看80端口搭建的有没有漏洞,用gobuster扫描80端口也没有什么有价值的信息

image-20250116145009116

我们只能继续信息收集

image-20250116145027819

在这个/contact路由下我们找到了一个用户名scr1ptkiddy,而且我们可以注意到一个叫Silverpeas的东西,我们google一下,发现是一个cms系统,通过网上搜索,可以发现通过以下方式找到登录框

image-20250116145044987

image-20250116145056367

参考这个链接进行身份验证绕过,因为我们已经有一个用户名了,所以我们可以尝试无密码登陆

https://gist.github.com/ChrisPritchard/4b6d5c70d9329ef116266a6c238dcb2d

删除密码字段后成功登陆

image-20250116145117940

image-20250116145131420

接下来进行一波信息收集

image-20250116145157871

我们发现还存在其他两个用户,我们一样的去尝试登陆这两个用户即可

Administrateur
Manager

成功登陆Manager账号,发现ssh登陆凭证

tim
cm0nt!md0ntf0rg3tth!spa$$w0rdagainlol

发现第一个flag,接着就是进行提权即可

image-20250116145226316

我们可以发现/home目录下还有一个tyler用户,但是我们没有权限进入那个用户,我们尝试sudo提权和suid提权,发现没有可以利用的东西,没辙了,用linpeash跑一下

image-20250116145243271

发现我们可以去读日志文件,我们尝试去翻日志文件

在auth.log.2中发现一条很有意思的日志

image-20250116145258119

tyler : TTY=tty1 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/docker run --name silverpeas -p 8080:8000 -d -e DB_NAME=Silverpeas -e DB_USER=silverpeas -e DB_PASSWORD=_Zd_zx7N823/ -v silverpeas-log:/opt/silverpeas/log -v silverpeas-data:/opt/silvepeas/data --link postgresql:database silverpeas:6.3.1

这个dbpassword可能也是ssh密码,我们尝试连接,发现成功登陆,发现可以进行sudo提权,我们直接读取root的flag即可

image-20250116145317110

image-20250116145326752

本题到此结束