intense靶场-获取User权限

最新推荐文章于 2023-12-30 23:38:22 发布
最新推荐文章于 2023-12-30 23:38:22 发布
阅读量754 收藏
点赞数
文章标签: python 安全 信息安全 jwt lambda
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/112386686
版权
本文详细介绍了如何攻破HTB靶场中的Intense,涉及Python源码审计、SQL注入、SNMP探测以及利用源码分析获取admin权限,并通过文件读取漏洞获取user.txt。主要步骤包括信息收集、业务应用分析、源码分析、admin权限获取及任意文件读取的实现。
摘要由CSDN通过智能技术生成

本文作者:jokelove(Ms08067内网安全小组成员)


Intense是HTB中一个难度中上的靶场,需要参与者具备下述能力:

1. Python源码审计 

2. SQL注入原理 

3. SNMP远程命令执行 

4. 栈溢出与ROP

开启Intense靶场环境之后,目标IP:10.10.10.195

原文链接: https://0xdf.gitlab.io/2020/11/14/htb-intense.html 

参考链接: https://www.romanh.de/writeup/htb-intense

0x01 信息收集

  1. 发现TCP端口开放情况

root@kali# nmap -p- --min-rate 10000 -oA scans/nmap-alltcp 10.10.10.195
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-05 14:58 EDT
Nmap scan report for 10.10.10.195
Host is up (0.36s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http

2. 对开放端口进行进一步识别

root@kali# nmap -p 22,80 -sC -sV -oA scans/nmap-tcpscripts 10.10.10.195
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-05 14:59 EDT
Nmap scan report for 10.10.10.195
Host is up (0.095s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 b4:7b:bd:c0:96:9a:c3:d0:77:80:c8:87:c6:2e:a2:2f (RSA)
| 256 44:cb:fe:20:bb:8d:34:f2:61:28:9b:e8:c7:e9:7b:5e (ECDSA)
|_ 256 28:23:8c:e2:da:54:ed:cb:82:34:a1:e3:b2:2d:04:ed (ED25519)
80/tcp open http nginx 1.14.0 (Ubuntu)
|_http-server-header: nginx/1.14.0 (Ubuntu)
|_http-title: Intense - WebApp
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.84 seconds

3. 对UDP端口进行识别

root@kali# nmap -sU -p- --min-rate 10000 -oA scans/nmap-alludp 10.10.10.195
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-08 15:33 EDT
Nmap scan report for 10.10.10.195
Host is up (0.013s latency).
Not shown: 65534 open|filtered ports
PORT STATE SERVICE
161/udp open snmp
Nmap done: 1 IP address (1 host up) scanned in 13.47 seconds

这里发现SNMP端口开放,可以尝试使用snmpwalk来探测是否存在敏感信息

4. 使用SNMP进行探测

root@kali# snmpwalk -v 2c -c public 10.10.10.195
SNMPv2-MIB::sysDescr.0 = STRING: Linux intense 4.15.0-55-generic #60-Ubuntu SMP
Tue Jul 2 18:22:20 UTC 2019 x86_64
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (18407) 0:03:04.07
SNMPv2-MIB::sysContact.0 = STRING: MeSNMPv2-MIB::sysName.0 = STRING: intense
# 省略部分信息 ..
HOST-RESOURCES-MIB::hrSystemMaxProcesses.0 = No more variables left in this MIB
View (It is past the end of the MIB tree)

snmpwalk没有获取到任何有用的敏感信息

利用上述过程,将信息进行总结:

目标IP
10.10.10.195
开放端口 80/http 21/ssh 161/snmp
操作系统 Ubuntu Bionic 18.04
WEB应用 Nginx/1.14.0
SSH版本 OpenSSH 7.6p1

通过Vulmon可以进一步对信息进行完善:

Vulmon 是一个漏洞检索引擎,可以通过应用版本查询相关漏洞情况
版本号 漏洞情况 漏洞说明
Ubuntu Bionic 18.04 CVE-2018-13405 https://vulmon.com/vulnerabilitydetails?qid=CVE-2
Nginx/1.14.0 CVE-2020-5505 https://vulmon.com/vulnerabilitydetails?qid=CVE-2020-5505&scoretype=cvssv2
OpenSSH 7.6p1
最低0.47元/天 解锁文章
Ms08067安全实验室
关注
upload-labs 文件上传靶场
angry_program的博客
04-17 2111
前言 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。 Pass-1 直接上传php会被判断处于黑名单中 观察源码可知, 是前端js判断类型: 方法1 直接改前端代码: 上传成功之后并没有显示文件的路径, 那么好...
Windows操作系统——WindowsVulnScan提权辅助工具简介与使用教程
qq_50854662的博客
03-02 435
一、工具简介 说明: 这是一款基于主机的漏洞扫描工具,采用多线程确保可以快速的请求数据,采用线程锁可以在向sqlite数据库中写入数据避免database is locked的错误,采用md5哈希算法确保数据不重复插入。 本工具查找是否有公开exp的网站为shodan,该网站限制网络发包的速度,因而采用了单线程的方式,且耗时较长。 功能: 查找主机上具有的CVE 查找具有公开EXP的CVE 起因: 因为需要做一些主机漏洞扫描方面的工作,因而编写了这个简单的工具。之前也查找了几款类似的工具,如
SNMP获取Linux系统信息
最新发布
qq_44534541的博客
12-30 515
【代码】SNMP获取Linux系统信息。
Zabbix 之snmp配置
weixin_34032621的博客
09-17 320
zabbix监控获取数据的途径有简单检查,zabbixagent,snmp,snmp用来监控交换机,打印机,路由器等网络设备时更为方便;snmp通过特定的oid值来获取对应的数据。1.snmp的安装:[root@zhu1 ~]# yum -y install net-snmp net-snmp-*2.启动snmp服务[root@zhu2 ~]# service snmpd s...
如何远程交换机路由器(思科)
小正子
10-28 1634
1.需要用到的命令: switch(config)#enable secret 密码 #设置交换机权限的密码。 switch(config-if)#line vty 0 4 #配置远程,允许同时远程该交换机的电脑数最大为4个。 switch(config-if)#login local #用本地的账户密码登录。 switch(config)#username 账...
Intense Research-crx插件
04-02
**Intense Research-crx插件详解** Intense Research-crx是一款专为英语用户设计的扩展程序,它在浏览器上提供了一种独特的功能:按键动力学研究。这款插件旨在帮助用户记录并分析他们的打字行为,从而提升打字效率...
Effects of target pre-heating and expansion on terahertz radiation production from intense laser-solid interactions
02-05
The first experimental measurements of intense (-7×1019 W cm-2) laser-driven terahertz (THz) radiation from a solid target which is preheated by an intense pulse of laser-accelerated protons is ...
Nonperturbative generation of above-threshold harmonics from pre-excited argon atoms in intense mid-infrared laser fields
02-04
We experimentally investigate the generation of above-threshold harmonics completely from argon atoms on an excited state using mid-infrared femtosecond laser pulses. The highly nonlinear dependences ...
安全模式 提权_渗透利器 | 提权辅助工具箱
weixin_39559750的博客
01-13 181
作为技术宅的我,日常最大的爱好就是逛论坛。某日看到论坛里有一款基于主机的漏洞扫描工具,用来查找主机上公开EXP的CVE。嗯嗯,我想还是叫提权辅助工具可能会更顺口一些。在我印象中,类似的工具其实还蛮多的,比如我们熟知的Linux_Exploit_Suggester和Windows-Exploit-Suggester。我花了一点时间,整理了 9 款提权辅助工具,不敢独享,特整理成文。如果你对提权有那么...
CTF之SQL注入之load_extension函数
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 2512
某次ctf比赛时,发现前台存在sql注入,使用的是sqlite数据库,通过报错信息,发现过滤了select、or、and、insert等关键字,但是没有禁止load_extension() 函数 于是可以通过如下方式加载动态库,如windows的dll,linux的so进行远程命令执行,方式如下: www.abc.com?id=1'||load_extension('/home/poc.so');-- 刚好目标网站有一个文件上传接口,可以自己编写动态库,然后上传上去。 从sqlite的官网上,我找到了一个
Linux——Vulmap-Linux提权辅助工具简介与使用教程
W小哥
01-06 2294
一、工具简介 Vulmap 是一个开源的在线本地漏洞扫描器, 它由 Windows 和 Linux 操作系统的在线本地漏洞扫描程序组成。扫描结果可用于防御和进攻。也可以被用于权限提升。 Vulmap 可以用来扫描本地主机上的漏洞,查看相关漏洞并下载它们。 脚本基本上是扫描 localhost 以收集已安装的软件信息,并询问 vulmon.com网站的api 是否存在与已安装软件相关的漏洞。 如果存在漏洞,Vulmap 提供 CVE的ID、风险评分、漏洞的详细链接,如果存在相关的漏洞利用 ID 和利用标题。,
CentOS下面安装SNMP协议
yohoph的专栏
08-01 1790
检查是否安装snmp服务 # rpm -qa |grep snmp   yum安装 yum install -y net-snmp yum install -y net-snmp-devel yum install -y net-snmp-libs yum install -y net-snmp-perl yum install -y net-snmp-utils yum ins...
linux添加Mib库,如何在ubuntu下使snmp支持mibs库字符串形式
weixin_35793573的博客
05-03 727
ubuntu下使用snmp,我们可以使用mibs库的OID来查询我们想要得到的结果,例如:snmpwalk -v 2c -c public localhost .1.3.6.1.2.1.25.2.2但是这个OID的号码很不容易让我们记住,还是字符串更让人容易记忆,今天学习python的时候,借用老师的一个方法,终于实现了snmp支持mibs库的字符串形式查询,好记性不如烂笔头啊,记录一下吧,年纪大...
snmp弱口令引起的信息泄漏
weixin_33779515的博客
03-08 1798
D&G · 2013/08/02 10:450x00 snmp协议简介snmp协议即简单网络管理协议(SNMP,Simple Network Management Protocol)。目前一共有3个版本:V1,V2c,V3。V3是最新的版本,在安全的设计上有了很大改进。不过目前广泛应用的还是存在较多安全问题的V1和V2c版本,本文讨论的内容也是基于这两个版本。了解更多snmp协议内容可以参考维基百...
0基础学RS(九)思科AAA认证的本地AAA认证
weixin_45816894的博客
04-11 7916
AAA概述 AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。 AAA认证模式 本地AAA认证 基于服务器的AAA认证 本地AAA认证 本地AAA会在网络设备(如思科路由器)本地保存用户名和密码。用户向本地数据库认证自己的身份,如图所示。本地 AAA 是小型网络的理想选择。 使用CLI配置本地AAA认证 配置本地AAA认证步骤 配置用户名和密码 在路由器上全
ORA-16038 日志 无法归档 问题解决
jlds123的专栏
08-30 1186
Microsoft Windows [版本 5.2.3790] (C) 版权所有 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator.SERVER-2.004>sqlplus/nolog
Cacti监控MySQL实现过程中碰到的问题解汇总
热门推荐
csdn's blog
06-24 1万+
前言:cacti监控mysql服务器的大概50张graphs都弄出来了,也出图了,其中遇到一些问题,印象比较深刻的记录如下:(一):添加io监控 点击Create Graphs for this Host进去创建IO的图,结果报错 This data query returned 0 rows, perhaps there was a problem executing this da...
snmp
death_kada的博客
07-22 720
一.SNMP概述 1.SNMP:Simple Network Management Protocol,简单网络管理协议,基于UDP协议; 2.能够获取远程主机上服务,资源等信息,还能向远程主机发送指令; 3.MIB:Management Information Base,管理信息库,简而言之就是被监控端(Agent)需要被管理的资源; 5.简单工作原理:可以由Agent打开UDP:161端
anaconda-conda docx
05-08
Anaconda是一种开源的Python和R编程语言的发行版,是针对数据科学家和大数据处理方案设计的一款专业工具,包含了常用的数据分析和科学计算的模块、库和工具。而conda则是Anaconda所使用的一个软件包管理系统,可以管理Python、R和其他语言的库及其依赖关系。 而docx是一种微软Word文档的文件格式,它是一种基于XML的文件格式,使用较简单的标签以及样式定义来存储文档内容。因此,Anaconda-conda docx是指使用Anaconda中的conda包管理器安装docx相关包,并在Python编程中使用docx库完成对Word文档的处理。 在使用Anaconda-conda docx之前,需要先安装Anaconda,并配置好Python环境。之后,在命令行中使用conda命令安装docx库,例如: ``` conda install -c conda-forge python-docx ``` 安装完成后,便可以在Python中导入docx库,并使用其提供的API来处理Word文档。例如,可以使用docx库创建一个新的Word文档,插入段落和表格,并保存文档,代码如下: ```python from docx import Document from docx.shared import Inches document = Document() document.add_heading('Document Title', 0) p = document.add_paragraph('A plain paragraph having some ') p.add_run('bold').bold = True p.add_run(' and some ') p.add_run('italic.').italic = True document.add_heading('Heading, level 1', level=1) document.add_paragraph('Intense quote', style='Intense Quote') document.add_paragraph( 'first item in unordered list', style='List Bullet' ) document.add_paragraph( 'first item in ordered list', style='List Number' ) document.add_picture('image.png', width=Inches(1.25)) records = ( (3, '101', 'Spam'), (7, '422', 'Eggs'), (4, '631', 'Spam, spam, eggs, and spam') ) table = document.add_table(rows=1, cols=3) hdr_cells = table.rows[0].cells hdr_cells[0].text = 'Qty' hdr_cells[1].text = 'Id' hdr_cells[2].text = 'Desc' for qty, id, desc in records: row_cells = table.add_row().cells row_cells[0].text = str(qty) row_cells[1].text = id row_cells[2].text = desc document.save('demo.docx') ``` 这个示例代码将生成一个名为demo.docx的Word文档,其中包含了标题、段落、引用、图像、列表以及表格等元素。通过使用Anaconda-conda docx,我们可以方便地处理Word文档,实现复杂的自动化任务,以提高工作效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值