基本信息

端口扫描

80

直接访问是默认页面

扫描目录发现存在music目录,login是跳转到ona:

ona getshell

ona默认guest用户登录,版本是 v18.1.1,搜索发现存在已知漏洞,注意这里要用全称搜索:

这个shell是www-root用户,收集信息发现两个用户名和一个密码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
$ ls /home
jimmy
joanna
$ cat local/config/database_settings.inc.php
<?php

$ona_contexts=array (
  'DEFAULT' =>
  array (
    'databases' =>
    array (
      0 =>
      array (
        'db_type' => 'mysqli',
        'db_host' => 'localhost',
        'db_login' => 'ona_sys',
        'db_passwd' => 'n1nj4W4rri0R!',
        'db_database' => 'ona_default',
        'db_debug' => false,
      ),
    ),
    'description' => 'Default data context',
    'context_color' => '#D3DBFF',
  ),
);

jimmy ssh

使用这个密码可以通过ssh登录jimmy,但flag应该是在另一个用户目录中:

internal

在apache目录看到有个internal,并且查看配置是开在本机的:

main.php会将Joanna的私钥输出:

但这个私钥不能直接使用,需要密码:

crack passphrase

使用john转换后可以破解出密码:bloodninjas

user flag

使用私钥和对应的密码,登录joanna,得到user.txt:

提权信息

直接sudo -l能够看到可以无需密码,sudo执行nano编辑opt下的priv:

root flag

可以直接使用nano的read file和功能读取/root/root.txt:

参考资料