hack the box cap

最新推荐文章于 2024-08-24 19:09:04 发布
最新推荐文章于 2024-08-24 19:09:04 发布
阅读量240 收藏
点赞数
分类专栏: hack the box 文章标签: ssh 安全 hacks
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26947429/article/details/119956126
版权
本文详细介绍了如何利用nmap扫描靶机开放端口,发现HTTP服务,并使用whatweb识别CMS版本。通过访问特定URL获取流量备份,然后使用Wireshark分析流量,捕获FTP的明文用户名和密码。利用这些凭证登录FTP,进一步尝试SSH登录,并成功获取root权限,最终找到并展示了提权的方法。
摘要由CSDN通过智能技术生成

今天来继续打靶场hack the box 的 Cap靶场

  1. 首先用nmap扫描靶机开放了那些端口和服务
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eRZeKBHD-1630053227059)(media/fb36babea9e9f83c2739b78533d555d0.png)]

  2. 靶机开放了21,22,80端口,现在就不尝试爆破了直接访问web页面收集信息,再用whatweb来识别CMS的版本和型号
    在这里插入图片描述
    在这里插入图片描述

  3. 看着像一个网管平台,在访问安全快照页面时发现了http://10.10.10.245/data/32,data后面的次数会增加,而这个页面是来备份数据流量的,也可以下载下来,我们访问最开始的页面可能就会拿到管理员登陆时的流量
    在这里插入图片描述

  4. 保存数据pacp,用wireshark分析数据流量,我们发现了ftp的数据流量,是明文传送的,我们右键追踪tcp流就可以截取到用户名密码

  5. 在这里插入图片描述

    USER nathan

    PASS Buck3tH4TF0RM3!

  6. 拿到用户民密码之后直接登录ftp就可以了,不过ftp只能下载和上传文件,我们可以用这个用户名登录ssh试一下
    在这里插入图片描述

  7. 不负众望成功登录,接着是查看权限和获取flag
    在这里插入图片描述

  8. 权限不高而且sudo
    -l还用不了,只能找找别的提权办法了,在https://gtfobins.github.io/中有很多提权的指令,我们可以试试看,我这里直接用别人找好的了
    python3 -c ‘import os; os.setuid(0); os.system("/bin/bash")’
    在这里插入图片描述

  9. 成功拿到root权限并拿到flag
    在这里插入图片描述

rurald
关注
专栏目录
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6830
Hack The Box,一款有意思的渗透测试平台
HackTheBox靶场系列(一)之HackTheBox靶场简介
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-30 4110
Hack The Box是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中有许多模拟真实场景的机器。HackTheBox靶场是一个虚拟的渗透测试训练平台,用于帮助安全研究人员、渗透测试人员和学生提高他们的技能。它包含一系列的虚拟机,其中每一个虚拟机都代表一个可攻击的目标系统。通过攻击这些虚拟机和解决它们的漏洞,用户可以提高自己的技能和知识,以更好地了解实际环境中的攻击和防御。
HackThe Box--Cap
最新发布
七天
08-24 722
Cap 测试过程。
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
Hack The Box 玩转指南:初学者到高手的渗透测试之旅》
2201_75353421的博客
01-30 2622
Hack The Box 实战指南:从注册到成功通关的渗透测试之旅》介绍了在Hack The Box平台上进行渗透测试的全过程。从注册开始,通过连接实验室、生成自己的服务器,一直到成功通关的每一步都得到详细解说。这是一篇适合初学者的实用指南,旨在帮助读者提高渗透测试技能和实际操作经验。
hack the box 注册时全名无效、reCapcha validation等注册问题
weixin_68177269的博客
03-12 4211
本篇文章主要记述了在注册hack the box时候遇到的问题及其解决办法。同样可以应用在注册其他外网的情况下。
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
keys.zip (hackthebox)
12-05
hackthebox Can you decrypt the message? Zip password: hackthebox
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子Hack The Box笔测试和来自挑战在这里,我们有Hack The Box的演练。
入坑 Hack The Box
LainWith的博客
10-19 1万+
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
HackTheBox 如何使用
网络安全学习
04-14 4726
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start point 5.点击想要完成的靶机,比如第 0 层的第一个靶机,选择 connnect to htb 选择 openvpn 会自动下载 openvpn 的文件,然后用 openvpn 导入,稍等一下即可连接 在 kali(linux)中如何连接? 同样是执行下载的文件 ┌──(root💀kali)-[~/d
Hack The Box靶场使用流程及方法
z875611510的博客
06-09 4914
协议有两个:UDP1337、TCP443,应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。国内视频介绍(kali连接htb):https://www.bilibili.com/video/BV1Q94y1f73u。以上就是hackthebox靶场的使用和第一关详解,总的来说这个靶场还是基础的,里面的资源也比较丰富,适合安全初学者入门。登录我们的HTB账号,点击右上角的“CONNECT TO HTB”,上面有两个选项,这里选择入门的就行。
第一章 网络安全从实战入门 hack the box
qq_42676415的博客
04-24 709
这会下载一个后缀为ovpn的文件,这个文件就是链接hack the box 的网络文件。(3)输入openvpn (路径)文件名,然后回车开始链接hack the box 的网络。二、我们使用kali系统,这个可以安装虚拟机,网络上教程一大堆,不在手把手教。(不会安装,不知道如何在官网下载的可以私信我)(2)输入sudo -I 命令切换为超级管理员用户。我们利用hack the box 进行教学,官方网址。在终端显示如下后,刷新网页如下右边就是链接成功。三、链接hack the box 的网络。
老实本分——HackTheBox入门
m0_68407377的博客
12-28 948
尽量将VPN接入自己的虚拟机中(kail),不然别人和你使用同一个机器人的时候,会跟你再同一个网段。注意:FULLNAME中间需要一个空格。使用telnet命令来获得flag。账户root,可以不用密码直接进入。页面有指示,可以按照这来。第八个问题获得flag。
连接Hack The Box靶场教程
Atopos545的博客
01-24 1258
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
手把手教会你--Hack The Box的账号注册(HTB Labs部分)
m0_74317362的博客
11-27 2124
请务必跟着博主复现一遍。
Hack The Box:File Inclusion 漏洞深度剖析与实战解析
"这篇文档是关于Hack The Box平台上的File Inclusion漏洞利用的实战教程,主要涉及了Local File Inclusion(LFI)的概念、原因以及如何进行漏洞探测和利用。" 在网络安全领域,Local File Inclusion(LFI)是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值