Year of the Dog

谁知道呢？狗咬了一口！

端口扫描

循例nmap

Web枚举

进80

用gobuster扫了一圈没有任何发现，图像也没有隐写

在主页的请求头的cookie有一个id

改成其他错误值会导致异常，看见叫id，习惯性加个了引号

爆库

爆表

爆字段

获取信息

然而这些东西并没有什么用

尝试写入文件，发现有waf

payload转hex

通过lines terminated by追加内容

写入成功，直接用python3reverse shell

横向移动

在dylan的家目录有一个work_analysis文件

这看着像是ssh日志，并且记录了被ssh爆破的信息

过滤dylan，dylan后应该就是密码，它一定是忘记回车了

ssh直接登，同时拿到user flag

权限提升

在根目录下有个gitea

本地开了个3000

ssh做一下本地端口转发

进本地3000，用dylan的凭据登录，有2fa

创建一个账户

在/gitea目录下有个gitea.db文件，并且dylan是所有者

下载到攻击机查看

由于我们是db文件的所有者，我们可以修改数据库，将我们的账户设置成admin，再覆盖掉原文件

但这样做似乎并不行

再找到two_factor表把2fa code给删掉，然后再登录dylan

依然不行，我不理解

从官方文档找到，gitea允许http base身份验证，这意味着我们可能可以绕过正常登录时需要验证2fa

成功进来，再使用burp的匹配和修改规则为我们的每个请求自动添加上该请求头

在一个仓库里有几个githook，这由sh脚本编写，这意味着能利用其来执行命令

写payload

随便修改readme.md然后提交

同时getshell

查看sudo -l，直接到root，但在docker里

在根目录下有个/data, 与宿主机/gitea一致

他们是连通的, 应该是挂载过去的

在docker中我们是root，那么就可以直接cp一个带root suid的bash过去，dylan就可以利用其提升到root

由于docker里的bash在宿主机用不了，需要先在宿主机复制个bash过去再由docker里的root操作

dylan利用

getroot