intense靶场-获取User权限

最新推荐文章于 2024-05-18 16:19:00 发布
最新推荐文章于 2024-05-18 16:19:00 发布
阅读量749 收藏
点赞数
文章标签: python 安全 信息安全 jwt lambda
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/112386686
版权
本文详细介绍了如何攻破HTB靶场中的Intense,涉及Python源码审计、SQL注入、SNMP探测以及利用源码分析获取admin权限,并通过文件读取漏洞获取user.txt。主要步骤包括信息收集、业务应用分析、源码分析、admin权限获取及任意文件读取的实现。
摘要由CSDN通过智能技术生成

本文作者:jokelove(Ms08067内网安全小组成员)


Intense是HTB中一个难度中上的靶场,需要参与者具备下述能力:

1. Python源码审计 

2. SQL注入原理 

3. SNMP远程命令执行 

4. 栈溢出与ROP

开启Intense靶场环境之后,目标IP:10.10.10.195

原文链接: https://0xdf.gitlab.io/2020/11/14/htb-intense.html 

参考链接: https://www.romanh.de/writeup/htb-intense

0x01 信息收集

  1. 发现TCP端口开放情况

root@kali# nmap -p- --min-rate 10000 -oA scans/nmap-alltcp 10.10.10.195
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-05 14:58 EDT
Nmap scan report for 10.10.10.195
Host is up (0.36s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http

2. 对开放端口进行进一步识别

root@kali# nmap -p 22,80 -sC -sV -oA scans/nmap-tcpscripts 10.10.10.195
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-05 14:59 EDT
Nmap scan report for 10.10.10.195
Host is up (0.095s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 b4:7b:bd:c0:96:9a:c3:d0:77:80:c8:87:c6:2e:a2:2f (RSA)
| 256 44:cb:fe:20:bb:8d:34:f2:61:28:9b:e8:c7:e9:7b:5e (ECDSA)
|_ 256 28:23:8c:e2:da:54:ed:cb:82:34:a1:e3:b2:2d:04:ed (ED25519)
80/tcp open http nginx 1.14.0 (Ubuntu)
|_http-server-header: nginx/1.14.0 (Ubuntu)
|_http-title: Intense - WebApp
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.84 seconds

3. 对UDP端口进行识别

root@kali# nmap -sU -p- --min-rate 10000 -oA scans/nmap-alludp 10.10.10.195
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-08 15:33 EDT
Nmap scan report for 10.10.10.195
Host is up (0.013s latency).
Not shown: 65534 open|filtered ports
PORT STATE SERVICE
161/udp open snmp
Nmap done: 1 IP address (1 host up) scanned in 13.47 seconds

这里发现SNMP端口开放,可以尝试使用snmpwalk来探测是否存在敏感信息

4. 使用SNMP进行探测

root@kali# snmpwalk -v 2c -c public 10.10.10.195
SNMPv2-MIB::sysDescr.0 = STRING: Linux intense 4.15.0-55-generic #60-Ubuntu SMP
Tue Jul 2 18:22:20 UTC 2019 x86_64
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (18407) 0:03:04.07
SNMPv2-MIB::sysContact.0 = STRING: MeSNMPv2-MIB::sysName.0 = STRING: intense
# 省略部分信息 ..
HOST-RESOURCES-MIB::hrSystemMaxProcesses.0 = No more variables left in this MIB
View (It is past the end of the MIB tree)

snmpwalk没有获取到任何有用的敏感信息

利用上述过程,将信息进行总结:

目标IP
10.10.10.195
开放端口 80/http 21/ssh 161/snmp
操作系统 Ubuntu Bionic 18.04
WEB应用 Nginx/1.14.0
SSH版本 OpenSSH 7.6p1

通过Vulmon可以进一步对信息进行完善:

Vulmon 是一个漏洞检索引擎,可以通过应用版本查询相关漏洞情况
版本号 漏洞情况 漏洞说明
Ubuntu Bionic 18.04 CVE-2018-13405 https://vulmon.com/vulnerabilitydetails?qid=CVE-2
Nginx/1.14.0 CVE-2020-5505 https://vulmon.com/vulnerabilitydetails?qid=CVE-2020-5505&scoretype=cvssv2
OpenSSH 7.6p1
最低0.47元/天 解锁文章
Ms08067安全实验室
关注
upload-labs 文件上传靶场
angry_program的博客
04-17 2111
前言 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。 Pass-1 直接上传php会被判断处于黑名单中 观察源码可知, 是前端js判断类型: 方法1 直接改前端代码: 上传成功之后并没有显示文件的路径, 那么好...
GitLab 任意文件读取漏洞(CVE-2016-9086)
weixin_54786196的博客
10-11 179
访问"http://192.168.233.129:8080" 访问GitLab主页 默认管理员口令"root:vulhub123456"新建项目 输入项目名称 点击 GitLab export。启动一台kali机 192.168.233.129。上传test.tar.gz文件。在vulhub靶场启动环境。
NET-SNMP基本命令
热门推荐
老夫编代码就是一把梭
12-05 1万+
当环境设置好后,运行snmpd,即snmp代理进程,就可以使用管理工具查询其中的信息了。Net- snmp提供的查询工具有很多,这里只介绍常用的几个,而且大部分查询命令的格式都大同小异。这里以.iso.org.dod.internet.mgmt.mib-2.system为例,其Oid为:.1.3.6.1.2.1.1。结构如下:    ………system                     .
SNMP获取Linux系统信息
qq_44534541的博客
12-30 514
【代码】SNMP获取Linux系统信息。
Zabbix 之snmp配置
weixin_34032621的博客
09-17 320
zabbix监控获取数据的途径有简单检查,zabbixagent,snmp,snmp用来监控交换机,打印机,路由器等网络设备时更为方便;snmp通过特定的oid值来获取对应的数据。1.snmp的安装:[root@zhu1 ~]# yum -y install net-snmp net-snmp-*2.启动snmp服务[root@zhu2 ~]# service snmpd s...
Intense Research-crx插件
04-02
**Intense Research-crx插件详解** Intense Research-crx是一款专为英语用户设计的扩展程序,它在浏览器上提供了一种独特的功能:按键动力学研究。这款插件旨在帮助用户记录并分析他们的打字行为,从而提升打字效率...
Effects of target pre-heating and expansion on terahertz radiation production from intense laser-solid interactions
02-05
The first experimental measurements of intense (-7×1019 W cm-2) laser-driven terahertz (THz) radiation from a solid target which is preheated by an intense pulse of laser-accelerated protons is ...
Nonperturbative generation of above-threshold harmonics from pre-excited argon atoms in intense mid-infrared laser fields
02-04
We experimentally investigate the generation of above-threshold harmonics completely from argon atoms on an excited state using mid-infrared femtosecond laser pulses. The highly nonlinear dependences ...
linux安装atm无法定位软件包,Ubuntu 安装snmp报Unlinked OID in IPATM-IPMC-MIB: marsMIB ::= { mib-2 57 }错误...
weixin_39613208的博客
05-11 194
Ubuntu 安装snmp报Unlinked OID in IPATM-IPMC-MIB: marsMIB ::= { mib-2 57 }错误首先运行下面的脚本#!/bin/bashfor i in /usr/share/mibs/ietf/IPSEC-SPD-MIB /usr/share/mibs/ietf/IPATM-IPMC-MIB \/usr/share/mibs/iana/IANA-I...
MS08-067漏洞复现(Kali+MSF)
JiangDong
06-07 611
MS08-067漏洞复现利用
E027-操作系统漏洞验证及加固-MS08_067漏洞利用与安全加固
轻舟已过万重山
10-13 867
MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。原理MS08-067漏洞是通过MSRPC over SMB通道调用Server程序中的NEtPathCanonicalize函数时触发的。
ms08-067漏洞复现
2302_79119987的博客
04-09 1335
漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。调用 NetpwPathCanonicalize 函数,对远程访问的路径进行规范化,而在 NetpwPathCanonicalize 函数中存在的逻辑错误,造成栈缓冲区可被溢出。向靶机发送大量数据,造成缓冲区溢出,渗透成功获得权限,使用shell命令。
安全模式 提权_渗透利器 | 提权辅助工具箱
weixin_39559750的博客
01-13 181
作为技术宅的我,日常最大的爱好就是逛论坛。某日看到论坛里有一款基于主机的漏洞扫描工具,用来查找主机上公开EXP的CVE。嗯嗯,我想还是叫提权辅助工具可能会更顺口一些。在我印象中,类似的工具其实还蛮多的,比如我们熟知的Linux_Exploit_Suggester和Windows-Exploit-Suggester。我花了一点时间,整理了 9 款提权辅助工具,不敢独享,特整理成文。如果你对提权有那么...
CTF之SQL注入之load_extension函数
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 2512
某次ctf比赛时,发现前台存在sql注入,使用的是sqlite数据库,通过报错信息,发现过滤了select、or、and、insert等关键字,但是没有禁止load_extension() 函数 于是可以通过如下方式加载动态库,如windows的dll,linux的so进行远程命令执行,方式如下: www.abc.com?id=1'||load_extension('/home/poc.so');-- 刚好目标网站有一个文件上传接口,可以自己编写动态库,然后上传上去。 从sqlite的官网上,我找到了一个
Linux——Vulmap-Linux提权辅助工具简介与使用教程
W小哥
01-06 2294
一、工具简介 Vulmap 是一个开源的在线本地漏洞扫描器, 它由 Windows 和 Linux 操作系统的在线本地漏洞扫描程序组成。扫描结果可用于防御和进攻。也可以被用于权限提升。 Vulmap 可以用来扫描本地主机上的漏洞,查看相关漏洞并下载它们。 脚本基本上是扫描 localhost 以收集已安装的软件信息,并询问 vulmon.com网站的api 是否存在与已安装软件相关的漏洞。 如果存在漏洞,Vulmap 提供 CVE的ID、风险评分、漏洞的详细链接,如果存在相关的漏洞利用 ID 和利用标题。,
【渗透测试】Vulnhub Corrosion : 1
qq_51143406的博客
01-17 973
chmod +s /bin/bash 是设置bash的setuid位,让用户在运行bash的过程中暂时获得拥有者的权限,运行easysysinfo时调用的是我们写的cat,就会让bash的setuid被设置,随后就可以以特权身份运行bash。看了其他师傅们的文章,这里是有一个文件包含漏洞,但是我们不知道传什么参,因此我们fuzz以下,参数值就设置为。,查看一下,发现easysysinfo会调用cat,而且没有使用绝对路径,那么我们就可以重写一个。开放了22和80端口,访问80端口,可以正常访问。
渗透靶场合集
最新发布
m0_75046593的博客
05-18 414
https://yunjing.ichunqiu.com/https://hackmyvm.eu/https://www.vulnhub.com/https://www.hackthebox.com/http://vulnstack.qiyuanxuetang.net/vuln/https://github.com/vulhub/vulhubhttps://www.mozhe.cn/bughttps://xj.edisec.net/signin?redirect=%2Fhttps://hackhub.get
snmp弱口令引起的信息泄漏
weixin_33779515的博客
03-08 1796
D&G · 2013/08/02 10:450x00 snmp协议简介snmp协议即简单网络管理协议(SNMP,Simple Network Management Protocol)。目前一共有3个版本:V1,V2c,V3。V3是最新的版本,在安全的设计上有了很大改进。不过目前广泛应用的还是存在较多安全问题的V1和V2c版本,本文讨论的内容也是基于这两个版本。了解更多snmp协议内容可以参考维基百...
anaconda-conda docx
05-08
document.add_paragraph('Intense quote', style='Intense Quote') document.add_paragraph( 'first item in unordered list', style='List Bullet' ) document.add_paragraph( 'first item in ordered list', ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值