HTB UnderPass

Enumeration

image
image
image
80 port 沒什麼發現
掃 UDP
先掃前30個
image
再掃其他
image

1
2
3
4
└─$ snmpwalk  -v 1  -c public 10.10.11.48  1.3.6.1.2.1.1.5.0 # system name
iso.3.6.1.2.1.1.5.0 = STRING: "UnDerPass.htb is the only daloradius server in the basin!"
└─$ snmpwalk -v 1 -c public 10.10.11.48 1.3.6.1.2.1.1.1.0 # sysytem description
iso.3.6.1.2.1.1.1.0 = STRING: "Linux underpass 5.15.0-126-generic #136-Ubuntu SMP Wed Nov 6 10:38:22 UTC 2024 x86_64"

daloradius 應該是關鍵,查一下 github
image
找它的預設帳密
wiki
image
image
image
Username: administrator
Password: radius
ssh失敗
image

/daloradius/ 存在 開始掃路徑
image
image
/daloradius/docker-compose.yml 看似有用其實沒用
/app 比較可能會登入頁面之類
螢幕擷取畫面 2025-01-02 201851
image
預設帳密登入失敗
image

除了 dirsearch ,也用 raft-large-directories.txt 針對目錄掃,掃前20000就差不多了
image
瀏覽器開 /daloradius/app/operators 會重導向
image
預設帳密登入成功
image

Foothold

image
image
一個user svcMosh:underwaterfriends
登入失敗
image
ssh成功
image

image
mysql `steve:testing123 沒用上ㄉ帳密
ssh 失敗
/daloradius/app/users/login.php 失敗

Privilege Escalation

image
svcMosh 只能用 sudo 執行 mosh-server
image
admin:81pDi9Six5bIY
image
admin:admin 沒用上ㄉ帳密

查 mosh 得知它是類似 ssh,但非交互式,指令執行完視窗就會自動關閉

mosh usage https://mosh.org/#techinfo
Q: How do I run the mosh client and server separately?

image

1
2
# local
└─$ MOSH_KEY=M8wAaXMnNoss1dvVWwHmww mosh-client 10.10.11.48 60001

開啟 root shell
image