废物的靶场日记 hackthebox-Unicode

最新推荐文章于 2024-05-21 18:45:00 发布
最新推荐文章于 2024-05-21 18:45:00 发布
阅读量3k 收藏
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53302733/article/details/123747260
版权

废物的靶场日记 hackthebox-Unicode

今天打medium难度的unicode 靶机IP 10.10.11.126

我近来已经认清了自己是个纯纯饭桶的事实 于是决定在没忍住点奶茶的日子里打打难度高的 用脑力劳动和奶茶的热量进行对冲!

前渗透

信息收集 nmap -sV -A 10.10.11.126
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open http nginx 1.18.0 (Ubuntu)

访问80是一个有注册登录的网站 注册登录发现有一个可以上传文件的地方 那就抓包上传
请添加图片描述
这里我都准备好upload的姿势了 结果啥也没改就给我放过去了 但是他上传的路径不在这个/upload下 找了找路径感觉此路不通

寄!我装的其实没寄 看到cookie 哎呀这不是丁…jwt吗 解一下
请添加图片描述
但是还不能伪造jwt 这里我们得到了一个jku 访问一下看到

请添加图片描述
这里关于jku不懂的朋友可以去看看文章 既然是可控的那么我们可以生成自己的公私钥对并更改jku来进行绕过
但是jku的url怎么构造呢 直接本地起http然后连是行不通的 这里我回到了主页 各种抓包发现主页点击google有重定向
而我们可以利用这个重定向来访问我们起的http 从而构造jku来进行认证

伪造jwt进入后台后发现还是很精简的 瞎点发现有
/display/?page=quarterly.pdf
这不文件读取吗 换成/etc/passwd后提示
we do a lot input filtering you can never bypass our filters.

他题目已经提醒了是关于unicode 那么估计就是等效字符绕过了
经过测试 这里对…/和etc进行了过滤 于是我把 / 和 c 进行替换 构造出
http://10.10.11.126/display/?page=…%EF%BC%8F…%EF%BC%8F…%EF%BC%8F…%EF%BC%8F…%EF%BC%8Fet%e1%b6%9c/passwd
成功读取文件
请添加图片描述
捏麻 这看的我好恶心 有用信息在于要连的应该就是这个code 以及存在mysql
但是根据我打了好几天的htb flag的位置是固定的 我能不能直接去找这个user的flag呢 改成
page=…%EF%BC%8F…%EF%BC%8F…%EF%BC%8F…%EF%BC%8F…%EF%BC%8Fhome/code/user.txt

e5c0dff1ca1d2152fe279522d4a65489 还真是可以的
但是我又突然醒悟了 好像没勾八用 因为root的flag读不了我们还是要连到code上提权

下一步我们肯定是要去读取一些文件 whatweb 10.10.11.126 发现是nginx的
我是没有什么开发经验的 又懂个勾八的nginx呢 常规的任意文件读取我只知道读个nginx/nginx.conf
但阅读.conf后我发现有 include /etc/nginx/sites-enabled/*; 而这个目录下的default文件其实是一个软连接
nginx真正的站点默认配置文件在/etc/nginx/sites-available/default 不知道这个理解对不对 望大佬指正

总之读取这个文件后发现有

#change the user password from db.yaml listen 80;

通过阅读文件判断路径找到这个文件 读取发现

mysql_host: “localhost” mysql_user: “code” mysql_password: “B3stC0d3r2021@@!” mysql_db: “user” 以此可以直接连上ssh

后渗透

拿到shell 由于这里我们已经提前拿到user的flag了 所以直接准备提权
上线msf peass看一下 发现啥也没
find / -perm -u=s -type f 2>/dev/null 也没看见什么明显的东西

测试发现这里有sudo提权 sudo -l 看到
(root) NOPASSWD: /usr/bin/treport 执行

sudo /usr/bin/treport
1.Create Threat Report.
2.Read Threat Report.
3.Download A Threat Report.
4.Quit.
Enter your choice:
能下载还提勾八 我直接把root.txt下下来不就完了
Enter your choice:3
Enter the IP/file_name:/root/root.txt

curl: (3) URL using bad/illegal format or missing URL

报错了 但是直接告诉你就是个curl 随便构造了一下发现应该是有过滤
但没关系 root flag近在眼前!

妈的 前面几个字刚打完 每日一寄又如期而至了 我正想最后一个过滤怎么绕 网络欠费了直接给我网断了
搞完之后发现还不能直接重连上去 吐了

回到这里 因为是下载本机文件 直接用file协议就可以了
Enter the IP/file_name:File:///root/root.txt
然后再执行一次选择2进行读取就行了 拿下root的flag

f50e2e806cf52f78e8bd0aabb14a2357
请添加图片描述
这台我觉得质量是不错的 但是过程中找资料的时候发现不科学上网有些资料太难找了 一搜索就是一堆来回抄来抄去文不对题过时又没勾八用的东西 这种博客抄来抄去不是纯恶心人吗

ore0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hackthebox-Toxic writeup
qq_40952713的博客
08-19 1611
hackthebox-Toxic writeupcookie解码尝试敏感文件读取读取nginx日志文件寻找flag cookie解码 分析源代码发现cookie是文件读取目录经过序列化之后再进行base64编码后生成的 将抓取到的cookie进行base64解码 尝试敏感文件读取 修改路径,重新编码 替换原有的cookie值 读取成功,发现nginx用户 读取nginx日志文件 发现日志文件记录的信息为用户请求头的个别信息(User-Agent:字段内容是可修改的) 寻找flag 修改Us
HTB_Bike靶机之模板注入
网络安全学习
05-12 471
船到桥头自然直 文章目录信息收集模板引擎SSIT 模板注入后放答案 信息收集 日常 A 扫描,两个端口 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.4 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA) | 256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:.
HackTheBox –Craft实战
weixin_45345568的博客
10-09 663
HackTheBox –Craft ip:http://10.10.10.110/ 信息搜集 端口扫描:使用nmap扫描发现开了22(ssh)端口和443(http/ssl) 版本可从web网页上获取: Web 服务器 Nginx1.15.8 Reverse Proxy Nginx1.15.8 首先访问页面,访问该链接http://10.10.10.110/看到是一片空白,试了一下使用https来进行访问,访问成功! 访问页面查看右上角的图标发现他有域名,所以使用hosts文件来进行绑定: 从上面图
Hack The Box - File Inclusion Module详细讲解中文教程
技术分享
07-17 1081
Hack The Box - File Inclusion Module详细讲解中文教程
HackTheBox-Unified
网安星空
02-23 2993
HackTheBox网站CTF靶场杂项(Misc)相关题目Unified,主要考察unicode的知识点。
hackthebox注册教程
01-20
hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得...
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
vuInhub靶场实战系列-DC-4实战
最新发布
05-22
vuInhub靶场实战系列-DC-4实战
【HTB系列】靶机Netmon的渗透测试
大方子
07-11 1649
总结和反思: 1. win中执行powershell的远程代码下载执行注意双引号转义 2. 对powershell代码先转为windows上默认的Unicode编码方式(UTF-16LE)再转为 base64执行,防止代码内容被破坏 3. 学会查CVE漏洞 4. 通过命令行把终端内容保存到剪切板中 5. 运维人员密码修改的规律,仅仅修改了密码中的年份,这是设置新密码常用的思路 K...
Hack The Box——SneakyMailer
热门推荐
江左盟的博客
08-18 1万+
简介 信息收集 漏洞发现 漏洞利用 权限提升 总结
# 废物靶场日记 hackthebox-Pandora
m0_53302733的博客
03-23 2033
废物靶场日记 hackthebox-Pandora 今天做easy难度的pandora靶场 靶机IP 10.10.11.136 前渗透 还是老样子信息收集 nmap -sV -A 10.10.11.136 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) 80/tcp open http Apache httpd 2.4.41 ((Ubuntu)
教你如何把HackTheBox里面的Luke“黑掉”
知柯信安
12-12 2884
与往常一样,第一步是对主机进行Nmap识别正在运行的服务: Nmap scan report for 10.10.10.137 Host is up (0.042s latency). Not shown: 65464 closed ports, 66 filtered ports PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3+ (ext.1) | ftp-anon: Anonymous FTP login allowe
靶机渗透练习22-FunBox1
hirak0的博客
04-18 1496
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-1,518/ Description Boot2Root ! This is a reallife szenario, but easy going. You have to enumerate and understand the szenario to get the root-flag in round about 20min. This VM is created/tested with Virtua
Hack the Box——Wafwaf(代码审计) wp
maple's的博客
01-23 483
0x00前言 又开始了一天的学习之路打开了我的Hack the Box Wafwaf 提示:My classmate Jason made this small and super secure note taking application, check it out!(我的同学Jason制作了这个小型且超级安全的笔记记录应用程序,请查看!) 0x01访问网站 访问界面,简单明了,直接给了源码 http://167.99.88.216:30957/ 显然就是代码审计了 简单看下代码
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
qq_18209847的博客
05-20 239
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
【网络安全】网络安全协议的重要性
heikewhite的博客
05-21 883
网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全之重发布与路由策略详解
m0_65858385的博客
05-20 669
如果if-match没有写就默认匹配所有,如果没有写apply就相当于不做任何动作,当if-match没有写,apply也没有写的时候就代表着router-policy后跟的动作是permit就是所有都通过,若是deny就是拒绝所有(拒绝所有的话,可以不写这个router-policy,因为只要做了router-policy,其末尾就隐含了拒绝所有。都是acl这种同一类的条件就是横向,竖向就是条件都不一样,又是acl又是cost的,如果多了不同类的条件就变为竖向。特点:1、仅仅抓取路由信息。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 767
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 Reel虚拟机是以恶意软件传播为主题的,这是一个很常见但危险的网络攻击。在解决这个靶场时,你需要进行全面的信息搜集,发现可能的漏洞,并利用这些漏洞来控制系统。你还需要进行各种网络嗅探和流量分析操作,以便找到系统中的隐藏服务和登录凭证。 在攻击过程中,你需要利用各种漏洞包括未经授权的访问和远程执行代码等。还需要理解和使用不同的入侵技术,例如命令注入和文件上传等。此外,你可能还需要对恶意软件的分析和行为进行深入研究,以了解其运行机制。 HackTheBox - Reel不仅测试了你的渗透测试技能,而且还促使你加强对恶意软件攻击和防护的了解。同时,这个靶场还有很多高级技术和技巧需要掌握。通过挑战这样的虚拟机,你可以提高你的安全意识和技能,以应对更复杂和高级的网络攻击。 总之,HackTheBox - Reel是一个非常有挑战性的虚拟机靶场,通过攻击和渗透测试,你将提高你的安全技能,并了解到如何防范和对抗恶意软件传播。这是一个很好的方式来锻炼和提升你的网络安全技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值