HTB - PC

靶机描述

ip : 10.10.11.214

在做之前需要配置一下hosts文件，不然会连接失败

（windows的hosts文件在C:\Windows\System32\drivers\etc里，linux在/etc/hosts）

信息收集

• nmap扫描开启了22端口ssh服务和50051端口

• 单独在仔细扫一遍50051端口

• 继续搜集信息，搜索了一下50051是什么服务
• 发现50051是gRPC的默认端口
• 
• 继续搜索怎么利用这个端口
• 
• 可以通过grpcurl来进行访问grpc服务
• 但除了这个方式好像还有一种界面交互式的更方便一点

• 应为grpcurl需要go环境并且安装比较麻烦，所以我索性用docker上的环境

1. 搜索grpcurl         docker search grpcurl
2. 拉取镜像文件        dockers  pull   fullstorydev/grpcurl
3. 查看镜像                docker images
4. 运行grpcurl          docker run fullstorydev/grpcurl -plaintext 10.10.11.214:50051 list

运行的时候需要tls手令，网上搜了下加上-paintext就行

渗透测试

•  发现有两个

• 访问simpleapp时发现有三个新的页面

• 访问loginuser试试
• 访问的时候会有点问题，搜索在grpcurl中二级页面要加上Request才能进行下一步（-d 传入参数）

• 得到回显，既然是登录入口那就得尝试弱口令（返回id那就得想到sql注入）

• 有回显尝试注入试试

1. 测试后发现是sqlite数据库（可以自己去学习下，我是直接搜索的sqlite注入语句一步到位），如果使用另一种界面交互式的不知这种命令界面的，就可以抓包用sqlmap跑方便很多
2. 最后跑出来账号密码是sau:HereIsYourPassWord1431

找到立足点

sau:HereIsYourPassWord1431

ssh登录

ssh sau@pc

第一个flag就在这个文件夹里

提权（还不会，后面在跟新）