TheHackersLabs NodeCeption writeup

信息收集

nmap

从nmap的结果来看两个端口上都运行的是web，dirsearch扫一下目录
dirsearch

获取userFlag

先上5678端口去看一下

上网了解到n8n是一个开源的工作流自动化工具，如果能够登录进去的话，就可以通过创建工作流的方式来实现命令执行功能，即就可以弹shell了。先测试一下这个登录框：

只能输入邮箱，之后的话我先输入邮箱然后bp抓包由改为了正常的admin发包后，响应无特殊信息，也没有sql注入，而正常输入邮箱登录只会出现一个提示：

无法通过此提示判断出用户名是否存在，之后由试了试爆破，但是发现即使一次只发一个包，且每个包之间间隔1s，再几个包过后还是会报429

说明爆破这条路也走不通了，然后查看源代码也没什么隐藏信息，至此，这个页面唯一有待挖掘的就是title那里的可能的域名信息了

不过先去看一下8765端口吧

一个默认页面，不过和普通的apache2的默认页面有点不一样，看一下源码

在源码中找到了这样一段注释

这里就拿到了一个账号：usuario@maildelctf.com，这个网站上还有一个login.php页面，去看一下

又是一个登录页面，那刚得到的那个用户名爆破一下

可以跑出来一个密码，登录上去

去登录n8n，登录上去后就可以创建工作流来实现命令执行了，具体步骤如下：

在这里搜索并选择 Execute command

这里就可以执行系统命令了

然后就可以通过busybox弹shell了，拿到shell后家目录里就可以拿到userflag了

userflag：82ff0d243f77d7f93d62c277e925aaef（MD5）

获取rootFlag

sudo -l 看一下

这里应该就可以无密码的执行vi命令了，并且通过id可以看到thl用户在sudo组里，那么它就可以以任意用户的权限执行任意命令的，而且应该也是不需要密码的，但在这里sudo执行命令却提示需要thl的密码，不知道为什么

那只能hydra爆破一下了，这里如果把线程数调成64的话是跑不出来的（至少我没有跑出来），但使用默认线程数，即 -t 4 就可以跑出来

然后就可以提权到root了

rootflag：623d30614c42e475938f75dc28191ae0（MD5）

 

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！