HTB - Funnel
- PostgreSQL 指令
- SSH tunnel 創建
- FTP anonymose Login
- hydra 暴力破解
Target host : 10.129.288.195
nmap argment : nmap -sC -sV -Pn -T4 10.129.288.195
觀察掃描結果可以發現 ftp-anon : Anonymous login allowed
代表說可以匿名登入該主機的ftp server
這邊用 get 把目錄中的文件都下載到本地如下圖 :
打開下載回來兩個檔案,提供了兩個重要的資訊
- password_policy.pdf 提到新進員工的預設密碼為 funnel123#!#
- welcome_28112022 群發電子郵件列出了所有新進員工的 email
將所有新進員工的帳號記錄下來,透過 hydra 來進行 ssh 密碼爆破
連進去後使用 ss -tls 查看只連接到內網的服務
127.0.0.1:postgresql
127.0.0.1:5432
但是這個用戶端裡面似乎沒有安裝 psql 客戶端我們必須創建一個 SSH tunnel 來使用 localhost 的 client 連上去
ssh -L 5555:localhost:5432 christine@10.129.106.134
-L 創建通道
5555:localhost:5432 可以很圖像化的記憶
[5555]–[localhost]–[5432] <— 就像一個通道
psql -U christine -h localhost -p 5555
-U 使用者
-h 伺服器位置 (這裡因為要通過 SSH tunnel 連到資料庫所以打 localhost)
-p Port
\l = 列出伺服器
\c = 連結到伺服器
\dt = 列出資料庫
SELECT * FROM flag; 就可以得到 flag 了