当前位置：首页 > news >正文

HACKTHEBOX——Teacher

news 文章来源：https://blog.csdn.net/weixin_45557138/article/details/129286730 2024/11/19 4:21:25

nmap

nmap -sV -sC -p- -T4 -oA nmap 10.10.10.153

nmap只发现了对外开放了80端口，从http-title看出可能是某个中学的官网

http

打开网站确实是一个官网，查看每个接口看看有没有可以利用的地方

发现了一个接口，/images/5.png，但是响应包中却是一段文字

这个Giovanni写忘记了密码的最后一个字符，很有可能是想要我们去暴力破解，Th4C00lTheacha，再添加最后一个字符，从a-z，A-Z，0-9，在加上常用标点符号，生成一组密码，找到登录口后暴力破解进入后台，尝试admin/administrator等常见后台登录接口也没反应，直接扫描网站目录吧

暴力破解

gobuster dir -u http://10.10.10.153/ -w /usr/share/wordlists/dirb/big.txt -o gobuster

最终发现了这些接口

其中尝试访问/moodle接口时，跳转到teacher.htb，尝试将该域名添加至/etc/hosts

再次访问该页面，得到如下结果，看起来像是老师用的界面，wappalyzer显示这个moodle是一个LMS，可以尝试获取版本信息后查阅相关漏洞。之前的用户Giovanni可能是一个老师，右上角有一个登录按钮，尝试使用刚才得到的用户名和残缺的密码暴力破解登录系统

首先将登录时的数据包发送至burpsuite的intruder，在密码的最后一位添加替换位$password$，之后burpsuite便会自动替换这一位的字符

设置payloads为a-z，A-Z，0-9，常见字符，先试一下，可以看到#相应长度不同于其他

尝试使用Giovanni/Th4C00lTheacha#登录系统，成功登陆

使用moodlescan扫描一下目标网站，看看能不能发现一些东西

python3 moodlescan.py -k-u http://moodle.example.com/<moodle_path>/

扫描结果如下，发现系统使用的moodle版本为3.4.1

cve-2018-1133

Moodle 允许教师设置包含多种问题的测验。其中包括计算问题，它允许教师输入一个数学公式，该公式将由 Moodle 对随机输入变量进行动态评估。这可以防止学生作弊并简单地分享他们的结果。例如，教师可以键入什么是 {x} 添加到 {y}？答案公式为 {x}+{y}。 Moodle 然后会生成两个随机数，并将它们插入问答文本中的占位符 {x} 和 {y} （例如3.9+2.1）。最后，它将通过调用安全敏感的 PHP 函数来评估答案 6.0eval() 以其恶意潜力而闻名的公式输入，因为它允许执行任意 PHP 代码。

查看https://www.sonarsource.com/blog/moodle-remote-code-execution/文章获取更多信息

开始复现该漏洞，首先肯定是要登录系统