时间:2025-07-21 00:05
人气:
作者:admin
从nmap的结果来看两个端口上都运行的是web,dirsearch扫一下目录
先上5678端口去看一下
上网了解到n8n是一个开源的工作流自动化工具,如果能够登录进去的话,就可以通过创建工作流的方式来实现命令执行功能,即就可以弹shell了。先测试一下这个登录框:
只能输入邮箱,之后的话我先输入邮箱然后bp抓包由改为了正常的admin发包后,响应无特殊信息,也没有sql注入,而正常输入邮箱登录只会出现一个提示:
无法通过此提示判断出用户名是否存在,之后由试了试爆破,但是发现即使一次只发一个包,且每个包之间间隔1s,再几个包过后还是会报429
说明爆破这条路也走不通了,然后查看源代码也没什么隐藏信息,至此,这个页面唯一有待挖掘的就是title那里的可能的域名信息了
不过先去看一下8765端口吧
一个默认页面,不过和普通的apache2的默认页面有点不一样,看一下源码
在源码中找到了这样一段注释
这里就拿到了一个账号:usuario@maildelctf.com,这个网站上还有一个login.php页面,去看一下
又是一个登录页面,那刚得到的那个用户名爆破一下
可以跑出来一个密码,登录上去
去登录n8n,登录上去后就可以创建工作流来实现命令执行了,具体步骤如下:
在这里搜索并选择 Execute command
这里就可以执行系统命令了
然后就可以通过busybox弹shell了,拿到shell后家目录里就可以拿到userflag了
userflag:82ff0d243f77d7f93d62c277e925aaef(MD5)
sudo -l 看一下
这里应该就可以无密码的执行vi命令了,并且通过id可以看到thl用户在sudo组里,那么它就可以以任意用户的权限执行任意命令的,而且应该也是不需要密码的,但在这里sudo执行命令却提示需要thl的密码,不知道为什么
那只能hydra爆破一下了,这里如果把线程数调成64的话是跑不出来的(至少我没有跑出来),但使用默认线程数,即 -t 4 就可以跑出来
然后就可以提权到root了
rootflag:623d30614c42e475938f75dc28191ae0(MD5)
关注微信