端口扫描,只有两个开放端口80,3690

尝试使用dirsearch目录fuzz,没有找到什么有用的信息

使用nmap自带的svn暴力脚本验证登录,发现开启了匿名登录权限

SVN信息收集

其中,moved.txt中存在一个地址“http://devops.worker.htb”

先将该地址添加到“/etc/hosts”中,然后访问该地址,需要账号密码

使用“svn checkout -r 2 svn://10.10.10.203”从每个版本的仓库中寻找文件副本,并发现了deploy.ps1

打开发现用户名和密码

使用该凭证可成功登录到http://devops.worker.htb/

在SmartHotel360->Repos->Files中有文件上传功能,但无法直接上传文件

需要先创建一个branch再上传文件

上传webshell,这里用了一个反向连接的Webshell

上传成功后发布一个pull请求,将shell.aspx加载到spectral.worker.htb

将spectral.worker.htb添加到hosts文件中,然后访问http://spectral.worker.htb/shell.aspx

在本机上用nc开启监听,成功返回shell

使用winPEAS.exe扫描系统,发现了另一个系统盘

并在其中找到账号密码robisl:wolves11 通过winrm登录,并找到user.txt

使用新凭证登录devops.worker.htb

添加robisl到管理员组

获取root.txt

使用msf生成payload并使用前面的方式执行payload,最后获取管理员凭证。