Hack The Box——Academy

最新推荐文章于 2024-05-26 09:53:50 发布
最新推荐文章于 2024-05-26 09:53:50 发布
阅读量1.8w 收藏 6
点赞数 1
分类专栏: HackTheBox靶机 文章标签: Hack The Box HTB-Academy 渗透测试实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/110298636
版权

目录

简介

信息收集

漏洞发现与利用

垂直越权

CVE-2018-15133

权限提升

cry0l1t3用户Shell

mrb3n用户Shell

总结

简介

这台靶机的作者有点皮,很会转移渗透人员的注意力,但大部分渗透人员都觉得是台不错的靶机,比较像OSCP的靶机。首先通过垂直越权获取到另外一个域名,访问该域名会获取到泄漏的APP_KEY,使用搜索引擎进一步收集信息发现CVE-2018-15133漏洞,利用该漏洞获取WebShell,在网站目录的隐藏文件.env发现数据库用户dev的密码,通过撞库攻击获取到用户cry0l1t3的Shell,进一步使用提权辅助脚本获取到用户mrb3n的Shell,最后利用sudo提升至root权限。

信息收集

使用Nmap扫描端口及服务,发现目标主机在80和22端口分别运行着Apache 2.4.41和OpenSSH 8.2p1服务,33060端口可能运行着mysql服务,且操作系统为Ubuntu,80端口的Web页面被重定向到http://academy.htb,如图:

将域名添加到hosts文件,打开后发现有注册和登录两个功能,如图:

 使用sqlmap测试发现不存在SQL注入漏洞,注册账号密码进行登录,可以注册admin用户,登录之后如图:

网页是静态的,且任何用户登录都是该页面。扫描目录发现admin.php,如图: 

使用刚注册的admin账号登录admin.php未成功。枚举子域名:wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -H "Host: FUZZ.academy.htb" --hc 400 --hl 0 http://10.10.10.215未获获得其它子域名。

漏洞发现与利用

垂直越权

启动Burp Suite拦截注册数据包,将roleid=0改为roleid=1,如图:

注册成功后使用该账号密码成功登录admin.php,如图:

将发现的域名dev-staging-01.academy.htb添加hosts并访问,获得一个错误页面,如图:

使用错误页面暴露的MySQL用户名和密码无法登录成功。

CVE-2018-15133

然后搜索Monolog/Handler/StreamHandler.php,APP_NAME "Laravel",Whoops\Handler\PrettyPageHandler等关键词,发现Laravel存在CVE-2018-15133,可通过页面泄漏的APP_KEY获取WebShell,参考文章:Laravel框架RCE分析(CVE-2018-15133),利用laravel-poc-CVE-2018-15133生成Payload如图:

刷新页面并拦截数据包,修改HTTP请求方法为POST,添加Payload,发送之后成功返回uname -a命令的执行结果,如图:

使用PHPGGC构造反序列化漏洞利用代码,如图:

然后在本地443端口开启监听,发送漏洞利用代码,成功获得WebShell,如图:

也可以使用python3版本的EXP脚本直接获得WebShell。

权限提升

查看/etc/passwd,发现存在普通用户:21y4d,ch4p,cry0l1t3,egre55,g0blin,mrb3n,如图:

在/home/cry0l1t3目录下发现user.txt文件,如图:

在/var/www/html/academy/public/config.php文件发现数据库密码:GkEWXn4h34g8qx9fZ1,如图:

尝试使用该密码连接33060端口未成功,通过代理连接3306端口的MySQL成功,查看数据库发现academy库的users表中存在默认的账号,且仅有dev不是弱口令,如图:

 继续查看其它文件查找密码,发现test1234和SecREt01,如图:

但无法使用这两个密码登录以上6个普通用户。

cry0l1t3用户Shell

在/var/www/html/academy/.env文件中发现MySQL数据库dev用户的密码:mySup3rP4s5w0rd!!,如图:

将以上6个普通用户和root添加到user.txt,使用该密码进行枚举,如图:

使用该密码登录cry0l1t3用户,查看各用户信息发现cry0l1t3和egre55用户在都在adm用户组,且egre55用户在多个用户组中,如图:

使用find / -group adm -type f 2>/dev/null命令查看所有adm组的文件,如图:

通过cat和grep命令查找password,passwd等关键字未发现可用密码。

mrb3n用户Shell

然后使用提权辅助脚本linPEAS发现mrb3n用户的密码:mrb3n_Ac@d3my!,如图:

使用该密码验证用户,如图:

登录之后发现/usr/bin/composer文件具有sudo权限,通过Google搜索到的提权方法成功获得root权限,如图:

总结

该靶机官方定位为简单级别,做完之后回头看会发现的确很简单,但是靶机作者成功利用egre55吸引了火力,查看论坛发现几乎所有人都中计了,回顾其中的辛酸只有自己做一遍才能体会到。在WebShell到用户cry0l1t3这里浪费了很长时间,只因使用ls命令未加参数-a,在cry0l1t3用户到mrb3n用户这里由于将注意了放在了egre55用户,所以在获得mrb3n的密码后一直未登录,最后抱着试一试的态度发现居然真的是利用该用户提权,不得不佩服靶机作者。

江左盟宗主
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hackthebox:academy Walkthrough(not use metasploit)
汗的博客
12-18 600
预备知识 越权、CVE-2018-15133(APP_KEY 泄露情况下的 Laravel RCE 漏洞)、目录爆破(递归)、敏感信息泄露 linPEAS、/var/log/audit等敏感信息泄露 信息收集和获取立足点 nmap基础扫描一下 详细收集信息,先丢在旁边,下面这个proxychains必须在sudo前,含义参见Nmap Cheat Sheet proxychains sudo nmap -p 1-65535 -sV -sS -T4 10.10.10.215 nmap开了80端口,所以先在后台
Hack The Box - Help Writeup
qq_23026851的博客
01-30 3097
解题过程: nmap + nikto 扫描目标机,开放22,80,3000端口。并且找到80下的support/路径。 打开http://[ip]/support,发现一个叫HelpDeskZ的应用,源码:https://github.com/evolutionscript/HelpDeskZ-1.0/。该应用的submit ticket功能可以上传任意文件。虽然有file extension...
HackTheBox--academy
qq_37027540的博客
12-06 377
academy思路 nmap扫描发现开放80,但是允许使用域名访问,修改hosts文件 访问发现一个登录页面,进行目录爆破,发现三个重要页面(login.php,register.php,admin.php) 仔细查看register的网页源代码,或者进行抓包,根据你可以修改的参数进行权限绕过获取到一个管理员帐号 登录admin.php,发现提示,有一个存在问题的网站 将该域名添加到hosts文件中 查看该网站使用的框架,google寻找可以使用的突破口 获取shell查看/var/www/html/ac
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
探索 Laravel 安全边界:利用APP_KEY泄露的远程代码执行案例(CVE-2018-15133)
最新发布
gitblog_00084的博客
05-26 307
探索 Laravel 安全边界:利用APP_KEY泄露的远程代码执行案例(CVE-2018-15133) 项目地址:https://gitcode.com/kozmic/laravel-poc-CVE-2018-15133 在安全与技术的交汇处,总有那么一些项目,揭示了潜在的风险,同时也教导我们如何守护数字世界的门槛。今天,我们将深入解析一个针对Laravel框架的安全研究实例——【Laravel...
hackthebox 学院 -学院简介Introduction to Academy 模块
qq_43233301的博客
01-13 1224
hackthebox 学院 -Introduction to Academy
hackthebox 我的第一次
Ms08067安全实验室
12-23 1055
本文作者:time(Ms08067内网安全小组成员)time微信(欢迎骚扰交流):这是我第一次玩 hackthebox,就找个尽量简单点的,拿到ip先简单扫一扫那肯定只有80开始点击一看...
HackTheBox靶场系列(一)之HackTheBox靶场简介
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-30 3316
Hack The Box是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中有许多模拟真实场景的机器。HackTheBox靶场是一个虚拟的渗透测试训练平台,用于帮助安全研究人员、渗透测试人员和学生提高他们的技能。它包含一系列的虚拟机,其中每一个虚拟机都代表一个可攻击的目标系统。通过攻击这些虚拟机和解决它们的漏洞,用户可以提高自己的技能和知识,以更好地了解实际环境中的攻击和防御。
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
keys.zip (hackthebox)
12-05
hackthebox Can you decrypt the message? Zip password: hackthebox
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子Hack The Box笔测试和来自挑战在这里,我们有Hack The Box的演练。
Linux/Academy
ve9etable的博客
01-25 629
首先扫描目标端口对外开放情况发现对外开放了22,80,33060三个端口,端口详细信息如下结果显示80端口运行着http,且给出了域名academy.htb,现将ip与域名写到/et/hosts中,然后从http入手。
靶机渗透练习20-My School
hirak0的博客
04-16 984
靶机描述 靶机地址:https://www.vulnhub.com/entry/my-school-1,604/ Description Welcome to “My School” This VM has been designed by Sachin Verma. This boot to root VM is fully a real life based scenario. It has been designed in way to enhance user’s skills while te
入坑 Hack The Box
LainWith的博客
10-19 1万+
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
Laravel防御机制浅析
crystal_shrimps的博客
04-12 793
写在前面 在某次安全测试中碰到此框架,测了半天也没发现XSS之类的漏洞,查了一下Laravel有默认配置的安全机制,总结记录一下。本文以Laravel5.5为例分析部分安全机制以及涉及到的获取请求写法还有网上公开的Laravel框架漏洞 laravel5.5中文手册 laravel5.5源码 安全机制 XSS防御–Blade模板引擎从输入到输出 定义路由获取变量->把变量传给视图做渲染-&g...
Hack The Box 系列域渗透之靶机Cascade
小王的储物间
02-03 498
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇,靶机名字为Cascade。首先我们通过ldap进行信息搜集,发现了r.thompson用户的密码,通过访问r.thompson用户可以查看的SMB共享,我们获得了一封邮件以及用户s.smith用户的VNC密码(被加密了),后续我们通过Google找到了可以破解该密码的工具并成功得到。
hackthebox注册
05-10
如果您想注册HackTheBox,请按照以下步骤操作: 1. 访问HackTheBox网站:https://www.hackthebox.eu/ 2. 单击右上角的“注册”按钮。 3. 输入您的电子邮件地址并创建一个帐户。 4. 您将收到一封电子邮件,其中包含激活您的帐户所需的链接。单击该链接即可激活帐户。 5. 登录HackTheBox并开始挑战! 请注意,HackTheBox是一个仅限邀请的平台,您需要获得邀请代码才能注册。您可以通过在HackTheBox的论坛上积极参与社区来获得邀请码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值