0x00 关于EnuBox: Mattermost

说明

EnuBox: Mattermost

Description: The Mattermost chatting system may or may not hold sensitive information. Can you find your way in?

Virtual Machine: VMware

Operation System: Linux Ubuntu 16.04

Format: VMDK

DHCP Service: Enabled

IP Address: Automatically Assigned

看这靶机的意思,感觉很多都得靠猜或者靠爆破?

下载地址

Download:
Download (Mirror):
Download (Torrent):

0x01 环境搭建

将下载好的OVA导入到VMware中,然后配置网络适配器为NAT模式,确保两台主机在同一网段下就行了。

0x02 信息收集

主机发现

Kali机ip:192.168.255.130
目标机ip:192.168.255.128
Mattermost_01.png

端口扫描

nmap -A -P0 -p- 192.168.255.128
目标机开放了21、22、80、3389等端口,且FTP支持匿名访问,这个8065似乎也能接受HTTP请求
Mattermost_02.png

目录爆破

首先配置下kali机的hosts内容,添加内容格式如下:
Mattermost_03.png

又是什么东西都没扫出来,也没有robots.txt等其他文件
Mattermost_04.png

0x03 开冲

首先去看下FTP匿名用户,又是嘛都没有
Mattermost_05.png

接下来去看下80的web,一个403页面,没权限访问,然后也是什么都没有
Mattermost_06.png

访问了下8065,似乎除了一个登陆界面后,也是什么信息也没有
Mattermost_07.png

FTP

既然如此。。那就开始爆破吧
ftp爆破使用hydra工具。命令:hydra -L ftp-username.txt -P password.lst ftp://mattermost
爆破出了一堆用户名和密码。
Mattermost_08.png

最后只有用户名ftpuser,密码ftppassword下存在文件夹,依次cd进目录,最后有一个message文件使用get命令把它下载到本地进行查看

ftp> cd users
ftp> cd mattermost
ftp> get message

Mattermost_09.png

文件里面内容是Welcome!!!
Mattermost_10.png

找了这么久应该不至于是个没什么卵用的信息吧。。 这就去试试看各种登录。

SSH

最后经过一顿操作成功登录上了ssh(用户名:mattermost,密码:Welcome!!!)。。
Mattermost_11.png

随便找了下发现个README.md文件和一个ELF可执行文件secret,仔细想想刚才http://mattermost/下也说了这个文件,里面内容给了一个密钥48912,但是提示该密钥已经过期,运行脚本提示输入密钥,输入后也提示无效。
Mattermost_12.png

逆向分析

因为该脚本内与正确的密钥进行了验证,所以只要把ELF可执行文件反汇编就行了。
首先把secret下载到本地:scp mattermost@mattermost:/home/mattermost/Desktop/secret ~
逆向分析工具:Ghidra
打开工具-创建项目-导入secret后,在反编译区可看到程序源代码:
Mattermost_13.png

程序接受到输入的密钥赋值给local_14后会与0xf447进行比较,一致便设置用户标识符与组标识符为0,即为root,然后返回/bin/bash
0xf447转换为10进制为:‭62535‬,此即为正确的密钥
运行脚本,输入62535
Mattermost_14.png

flag:
Mattermost_15.png

0x04 其它路子

此路子来自一个国外的大佬Guldilo感觉这个才是比较正经的方法

UDP扫描

nmap -sU -A mattermost
Mattermost_16.png

这里69端口的tftp服务就是切入点

tftp用于传输文件。
FTP让用户得以下载存放于远端主机的文件,也能将文件上传到远端主机放置。tftp是简单的文字模式ftp程序,它所使用的指令和FTP类似。
它通常是应用在无需用户鉴别和目录列表的情况下。

TFTP

根据http://mattermost的提示。README.md文件中存放了某些信息。
我们使用tftp连接,直接请求该文件
Mattermost_17.png

该文件给出了一对用户名:Admin,密码:ComplexPassword0!
Mattermost_18.png

Mattermost

回到http://mattermost:8065/login使用上面的用户名和密码登录
Mattermost_19.png

一顿瞎点后发现了一个指向自己的链接:http://localhost/JK94vsNKAns6HBkG/AxRt6LwuA7A6N4gk/index.html
Mattermost_20.png

我们将其改为http://mattermost/JK94vsNKAns6HBkG/AxRt6LwuA7A6N4gk/index.html后访问,得到了FTP用户名和密码。。
Mattermost_21.png

后面就与上面没什么不同的了

Last modification:February 1st, 2020 at 02:32 pm
如果觉得我的文章对你有用,请随意赞赏