HackTheBox - Oopsie

已于 2022-06-13 11:30:09 修改
阅读量924 收藏 1
点赞数 1
文章标签: 安全 web安全 系统安全
于 2022-06-12 15:31:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45862635/article/details/125245972
版权

信息收集 逻辑漏洞 文件上传漏洞 反弹shell 横向移动 suid

一、信息收集

环境部署好后先用nmap对靶机ip进行扫描
nmap -sC -sV -v 10.129.55.115

可以看到目标靶机开放了22和80端口,分别对应ssh和http服务。
既然开启了http,那就去看看网站

既然是个网站,那就先用gobuster遍历一下目录,用kali自带的字典即可


可以看到存在一个/uploads路径,那么可能存在文件上传的漏洞

二、越权

再尝试点击网站上的按钮发现都没反应,看了一下源码,发现一个可能可以利用的js

尝试访问一下,发现访问不了,去掉后面的script.js再访问,进入到一个登录界面

尝试万能密码登录,失败,但是发现可以以游客身份登录,进去看看
登录进来后看了下账户信息好像没什么用处,但是注意到有个uploads模块

发现需要admin权限才能上传,这时候就可以看下页面的cookie,因为很可能可以通过修改cookie来对用户权限做文章

这时候就发现页面不仅对role有验证,还对user的id有验证,所以必须还要得到admin的Access ID
如何得到admin的ID呢?这时候会发现url上有可以利用的地方
http://10.129.55.115/cdn-cgi/login/admin.php?content=accounts&id=2
guest的id是2,那id=1的时候很可能就是admin,修改id=1

这样,通过水平越权这个逻辑漏洞,我们就得到了admin的Access ID
既然得到了id,继续更改存储的cookie

再次访问uploads,发现可以上传了

三、Getshell

因为一开始不知道这个网站对文件上传是否有过滤,那就先传个php文件看看情况
kali本身自带了一些webshell,位于/usr/share/webshells目录,php目录下有个php-reverse-shell.php,可以利用它来进行反弹shell

把文件复制出来,改名为shell.php,把ip地址改成自己的vpn地址,端口改成4444

同时监听4444端口

上传shell.php

上传成功,这时就用上了之前gobuster扫描的结果了,去扫到的/uploads目录下访问shell.php,成功getshell

四、横向移动

cat /etc/passwd看看靶机上有哪些用户,发现robert用户

信息收集时我们知道靶机用的是apache的服务,那就再去/var/www/html下看看有什么文件

可以发现在…/cdn-cgi/login/目录下有一个admin.php,db.php以及index.php
查看这三个文件,在index.php中发现一个password为MEGACORP_4dm1n!!

同时在db.php中发现robert的密码

为了更好地执行shell,我们这时先进入到伪终端,用python的pty模块即可

然后切换到robert用户

切换到robert的用户目录下,看看有什么有用信息

发现一个user.txt,答题的时候会用到

五、提权

先看下用户的id,发现robert属于bugtracker这个组

用find看下bugtracker这个组的用户能执行哪些文件

发现存在一个/usr/bin/bugtracker文件,再看下这个文件有哪些权限

发现这个文件有s权限即suid权限,所有者为root,suid简单来说就是任何用户执行具有suid权限的文件时都会以它拥有者的权限执行
我们先执行一下这个文件

这时候就发现这个文件实际上是用cat命令抓取/root/reports/目录下的指定文件
我们需要注意的是,它这里是直接调用的cat,所以很依赖环境变量,直接调用cat只会抓取环境变量中的路径下的文件
所以我们可以在环境变量中注入一个自定义的路径,替代掉这个文件真正想要调用的cat
进入tmp目录下,创建一个会调用bash的cat文件,然后给文件一个执行权限

使用export PATH=/tmp:$PATH命令把/tmp加入到环境变量中,再查看一下,发现/tmp已经添加到环境变量中了

这时候我们再执行bugtracker文件时,系统就会先去/tmp目录下找到我们写的cat并以root权限执行我们写的/bin/bash

提权成功
注:在用cat抓root.txt的时候记得先删除/tmp下我们自己写的cat,不然会调用那个cat

六、答题

With what kind of tool can intercept web traffic?
proxy

What is the path to the directory on the webserver that returns a login page?
/cdn-cgi/login

What can be modified in Firefox to get access to the upload page?
cookie

What is the access ID of the admin user?
34322

On uploading a file, what directory does that file appear in on the server?
/uploads

What is the file that contains the password that is shared with the robert user?
db.php

What executible is run with the option “-group bugtracker” to identify all files owned by the bugtracker group?
find

Regardless of which user starts running the bugtracker executable, what’s user privileges will use to run?
root

What SUID stands for?
Set Owner User ID

What is the name of the executable being called in an insecure manner?
cat

Briyney
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试练习靶场hackthebox——Starting Point Oopsie攻略
TF0xn的博客
09-18 3344
目录连接配置扫描 连接配置 见这篇文章,在此不再赘述 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 ...
HackTheBox-CTF-Writeups:此备忘单旨在面向CTF玩家和初学者,以帮助他们根据操作系统和难度对Hack The Box Labs进行分类
05-06
HackTheBox CTF速查表 该备忘单面向CTF玩家和初学者,可帮助他们根据操作系统和难度对Hack The Box Labs进行分类。 此列表包含hackingarticles上所有可用的Hack The Box文章。 我们已经根据我们的经验执行并编制了此...
hack the box靶场oopsie靶机
zr1213159840的博客
03-21 1542
打开靶机,看一下第一个问题: 问:什么可以拦截本地的流量? 答案:看着y结尾,应该是proxy,输入正确 第二问: 问:登录界面在什么文件夹下面? 答案:/cdn-cgi/login。知道这个页面的最直接的方式是f12后看下页面,能看到有一个cdn-cgi/login相关的信息。同时,根据提示,可以使用burpsuite爬取,这也是更加合适的方式,因为爬取能提供我们下一步信息。 在burpsuite中爬取这个网站,操作就是拦截数据包后在target中右击网站选择spider this host即可。然
Hack The Box : Starting Point - Oopsie
qq_60201815的博客
09-04 411
环境准备 攻击机:kali-linux 靶机:Archetype --------------------------------------------------------------------------------------------------------------------------------- 需要下载的工具:dirsearch ----------------------------------------------------------------------
# HTB-Tier2- Oopsie
32bin的博客
11-16 812
TagsPHPWebApacheOPENCONNECTONLINETask 1****yproxyTask 2//****nTask 3*****ecookieTask 4****234322Task 5/******s/uploadsTask 6**.**pdb.phpTask 7***dfindTask 8***trootTask 9Task 10cat尝试user=2233;
HackTheBox-Oopsie
LYJ20010728的博客
07-27 560
HackTheBox-Oopsie连接配置信息搜集路径泄露网页登陆越权文件上传反弹webshell升级shell横向移动提权下一场景相关信息 连接配置 参考之前写的连接配置,文章链接 信息搜集 Kali中使用Nmap进行扫描:nmap -sS -A 10.10.10.28 ┌──(kali㉿kali)-[~/Desktop] └─$ sudo nmap -sS -A 10.10.10.28 [sudo] password for kali: Starti
hack the box oopsie 靶场练习
鸥鹭忘机
07-30 1126
扫描收集信息 今天来练习hack the box中的oopsie靶场,如何连接这里不做过多赘述。 连接过程可以参考上一篇博客进行了解:https://blog.csdn.net/rpsate/article/details/119190220 首先扫描一下端口与服务信息 nmap -sV -F 10.10.10.28 -sV 代表扫描端口和开放的服务信息 -F 快速扫描,扫描常用的端口 好我们看到了开放了80端口,应该是一台WEB服务器,我们通过浏览器访问一下这个IP试一下。 果然出现了网页,
Hack The Box - TIER 2 - Archetype Oopsie Vaccine Unified
Tajang的大千世界
03-08 2074
不想丸辣
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
HackTheBox-Writes-Ups:HackTheBox CTFC挑战写作
03-20
【标题】"HackTheBox-Writes-Ups:HackTheBox CTFC挑战写作"涉及的是一个网络安全领域的活动,其中“HackTheBox”是一个知名的在线平台,它提供了模拟黑客攻击的环境来提升安全专业人员的技能。CTF(Capture The Flag...
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Hack-the-Box-OSCP-Preparation:Hack-the-Box-OSCP-Preparation
03-20
介绍你好呀!如果您不认识我,我叫Rana Khalil,然后按Twitter句柄 。在花了将近八个月的时间,攻读了Offensive Security Certified Professional(OSCP)认证后,我很高兴地宣布我已获得OSCP官方认证!...
HTB_Start Point_Tier2——Oopsie
m0_46607055的博客
08-22 1490
HTB_Start Point_Tier2——Oopsie 反弹shell+suid提权
Hack the box Oopsie
qq_41696858的博客
07-03 357
1.靶机IP 10.10.10.28,常规nmap -sC -sV 10.10.10.28扫端口,扫出22和80端口 2.打开浏览器,访问80端口,页面上没有啥,查看源码,找到/cdn-cgi/login,找到后台登录入口 3.登录,用户名 admin 密码没啥特别提示,尝试上一台靶机的密码,果然一样 4.后台四个模块,account模块管理账户信息,uploads上传文件 看见uploads,就知道找到了shell上传点,点开需要super_admin权限,通过抓包发现,其实是通过cookie里面的use
Cloudflare CGI网关跟踪
liulilittle的博客
09-26 1358
Cloudflare CDN提供一种易于用户检索访问节点及区域信息的CGI网关跟踪服务,我们可以在中国大陆采用不同的网络线路来测试访问区域。命令行一:wget -qO- http://172.64.153.2/cdn-cgi/trace。命令行二:curl -s http://172.64.153.2/cdn-cgi/trace。loc=本次访问客户端从那个国家/地区来访问,CN中国大陆,HK香港,MO澳门,TW台湾。中国电信CN2网络用户访问,colo 节点基本是(HK:中国香港特别行政区)
渗透测试练习靶场hackthebox_Oopsie
qq_45951598的博客
03-31 1981
文章目录扫描路径泄露登录升级shell权限提升后续总结 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 路径泄露 方法一 这里他说要登入,但是我们这里不知道登入口在哪 发现可以登录,但是目前没有
Hackthebox----Oopsie
CyhDl666的博客
04-20 421
文章目录信息收集登录webshell权限提升 信息收集 nmap扫描ip地址 nmap -sC -sV 10.10.10.28 -sV返回选项找出远程主机上运行的服务版本。 -sC: 等价于–script=default,使用默认类别的脚本进行扫描 可更换其他类别 22端口就是ssh端口 靶机是Ubuntu系统,开放了22端口和80端口 22端口: ssh端口 80端口:80端口是为HTTP(HyperText Transport Protocol)即超文本传输协议开放的,此为上网冲浪使用次数最
Hackthebox------Jerry
大方子
11-24 3040
hackthebox网站:https://www.hackthebox.eu   这次我们的靶机叫-Jerry IP:10.10.10.95   ====================================================================================== 1.先用nmap对 目标靶机进行扫描 nmap -sC -sV...
移动互联安全扩展要求测评项
最新发布
hakksjss的博客
07-10 1060
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值