HackTheBox | Paper

最新推荐文章于 2024-04-23 14:14:57 发布
最新推荐文章于 2024-04-23 14:14:57 发布
阅读量146 收藏
点赞数
分类专栏: htb记录 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/128663921
版权

HackTheBox | Paper

nmap扫描,开启22、80、443

image-20230112140501885

UDP扫描

image-20230112140903533

访问Web服务

image-20230112140925838

看起来没什么东西,dirsearch扫描一下,也没有东西

image-20230112142634090

在网络包中,看到office.paper

image-20230112142650974

修改本地hosts文件,添加指向office.paper的DNS记录

访问http://office.paper/,得到如下页面,该站点由wordpress搭建

image-20230112142945580

使用wpscan扫描,没有发现插件

image-20230112153534363

在主页看到了搜索框,尝试输入,发现为GET型请求

image-20230112153921458

尝试sqlmap进行SQL注入,也没有东西

手动信息收集,看看页面有什么内容。发现有几篇博客,其中一篇下面有留言说Michael, you should remove the secret content from your drafts ASAP, as they are not that secure as you think!,也就是wordpress的草稿站点有问题

image-20230112154339610

当前wordpress版本为5.2.3,查找是否存在相关漏洞

在https://wpscan.com/vulnerability/9909中看到5.2.3版本存在未授权的页面泄露

image-20230112155121501

访问urlhttp://office.paper/?static=1&order=asc,得到如下页面

image-20230112155152745

接着访问http://office.paper/?static=1,来到一个页面,找到一个URLhttp://chat.office.paper/register/8qozr226AhkCHZdyY

image-20230112155620858

修改hosts文件,访问得到的URL,来到如下页面,组件为rocket chat

image-20230112155752170

搜索exp,3.12.1版本存在未授权漏洞,能够通过NoSQL注入进行命令执行,https://www.exploit-db.com/exploits/50108

利用条件中需要有一个低权限的用户邮箱,还得知道管理员的邮箱

在刚才的注册页面注册一个新账号,并登录;登录之后看到一个聊天频道

image-20230112161706386

在这个聊天频道里,有个机器人叫recyclops;私聊这个机器人,随便发的时候能看到提示信息,发送help获取使用帮助手册

image-20230112162559646

按照提示,可以获取文件、列文件目录等操作,发送recyclops list sale,看到目录下有portfolio.txt

image-20230112162856117

当前路径为/home/dwight/sales/,当前路径有2个文件夹salesales_2,里面有portfolio.txt文件,但是好像并没有用

image-20230112163306391

发现可以目录穿越

image-20230112163434944

最终,在/home/dwight/hubot/.env文件中获取到一组用户名和密码recyclops/Queenofblad3s!23

image-20230112163853651

使用获取到的密码登录dwight用户,成功

image-20230112164035440

/etc/passwd中看到另一个用户rocketchat

image-20230112164155921

在进程中也能够看到这个用户运行了聊天室程序

image-20230112164235094

在前面找到的RocketChat漏洞需要管理员的邮箱账号,所以进行信息收集

在聊天频道的成员中得到负责人的名字是michaelprisonmike,对关键词进行搜索,拿到一些邮箱

image-20230112164810327

github.public.email@michael.ficarra.me
michael.hart.au@gmail.com
michael@mikepb.com
michael.schramm@gmail.com

加上前面自己注册的账号,就已经达到了目标条件

利用找到的exp,但是发现需要接收邮件,但是又没法使用真实邮箱

image-20230112165455297

最后还是看了wp,发现直接用的提权漏洞…CVE-2021-3560

既然如此,直接上exp就可以了

linpeas的扫描结果中,有很多提权漏洞,但是试了之后都不行

image-20230112170321353

最后利用脚本https://github.com/Almorabea/Polkit-exploit成功提权

image-20230112174032403

xxL7-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全漏洞】Rocket.Chat 远程命令执行漏洞分析
HBohan的博客
08-21 1174
简述 Rocket.Chat 是一个开源的完全可定制的通信平台,由 Javascript 开发,适用于具有高标准数据保护的组织。 2021年3月19日,该漏洞在 HackerOne 被提出,于2021年4月14日被官方修复。该漏洞主要是因为 Mongodb 的查询语句是类 JSON 形式的,如{"_id":“1”}。由于对用户的输入没有进行严格的检查,攻击者可以通过将查询语句从原来的字符串变为恶意的对象,例如{"_id":{"$ne":1}}即可查询 _id 值不等于 1 的数据。 影响版本 3.12.1&
[Hack The Box] 靶机1 Meow+Paper
Huamang的博客
03-24 1765
前言 久闻HTB平台大名,这里不需要下载镜像自己打了,可以直接在网上开好镜像,连上vpn直接干 这次就算是对这个平台的一个熟悉操作吧 Meow 下载到了open文件,kali连接上 然后测试一下可以ping通了 然后就开nmap跑 nmap -sV 10.129.160.90 开启了23端口,telnet服务,直接连接,root账户 直接拿flag 这个算是白给的 Paper 下面就开始打正式的靶机了 一开始开启靶机ping不通,发现Starting Point和Machines居然不是用的一个
rocket-chat使用教程
weixin_41272269的博客
03-12 1万+
rocket-chat是一个开源的社交软件,类似于微信,QQ这种。 android使用教程 安装好软件,选择连接到服务器。 添加提供你的IP和端口 选择创建自己的账号。 就像注册微信,QQ一样 进入主界面,汉化软件 在语言中选择,简体中文。 了解软件基本功能 所有加入的人默认都在这个general群里面。 进入总群,选择自己想认识的人,点击头像,发送消息,就会自动加为好友 ...
Rocket.Chat使用
向水一生的博客
04-17 4144
默认端口:3000 安装指南 检查snap-server是否在运行:sudo service snap.rocketchat-server.rocketchat-server status 文件上传设置 以管理员身份登录Rocket.Chat Administration > General > Site URL 设置为 http://ip:port形式即可。 ...
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
HackTheBox | NodeBlog
Purpose_7的博客
01-12 166
HackTheBox | NodeBlog
废物的靶场日记 hackthebox-Paper
m0_53302733的博客
03-24 1544
废物的靶场日记 hackthebox-Paper 今天做的是easy难度的paper 靶机IP 10.10.11.143 前渗透 信息收集 nmap -sV -A 10.10.11.143 22/tcp open ssh OpenSSH 8.0 (protocol 2.0) 80/tcp open http Apache httpd 2.4.37 ((centos) OpenSSL/1.1.1k mod_fcgid/2.3.9) 443/tcp open ssl/http Apa
HackTheBox-Machines--Paper
七天
04-23 268
Paper 测试过程。
【Hack The Boxlinux练习-- Paper
人间体佐菲的博客
11-29 438
【Hack The Boxlinux练习-- Paper
box_embedding_paper_list:框嵌入的纸质清单
04-12
文件结构化表示与推理Probabilistic Embedding of Knowledge Graphs with Box Lattice Measures. L Vilnis *,X Li *,S Murty和A McCallum。 ( ACL 2018 )[] [] Probabilistic Embedding of Knowledge Graphs ...
Python库 | paperwork-backend-1.0.5.tar.gz
04-12
资源分类:Python库 所属语言:Python 资源全名:paperwork-backend-1.0.5.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | paper-admin-0.0.14.tar.gz
03-09
《Python库paper-admin详解》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,使得编程工作变得更加高效和便捷。今天我们将深入探讨的是名为`paper-admin`的Python库,它封装了一些实用功能,旨在...
Python库 | paper2remarkable-0.8.5.tar.gz
04-12
资源分类:Python库 所属语言:Python 资源全名:paper2remarkable-0.8.5.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
these de Magister Bendjellouli Zakaria.rar_7U6_The Job_paper_pv
07-14
this these present the job of pv
一文解读网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8389
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于Cocos Creator 3.x开发的Excel转Json格式的插件,同时会根据表格中的字段生成数据结构TypeScr代码
最新发布
08-16
oops-plugin-excel-to-json 是基于 Cocos Creator 3.x 开发的Excel转Json格式的插件,同时会根据表格中的字段生成数据结构TypeScript代码
FIJKPlayer-简介
08-16
FIJKPlayer-简介
vue+cesium+heatmap实现全球热力图
08-16
vue+cesium+heatmap实现全球热力图
the early second paper about Optical computational imaging
05-09
The early second paper about Optical computational imaging is "Single-shot phase imaging with a coded aperture" by David J. Brady, Xiaobai Sun, Felix Darvas, and Xiaozhen Wang, published in Optics ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值